Solución de problemas de errores comunes al validar parámetros de entrada

En este artículo se describen los errores que pueden producirse al validar los parámetros de entrada y cómo resolverlos.

Si tiene algún problema al crear parámetros locales, use este script para obtener ayuda.

Este script está diseñado para ayudar a solucionar problemas relacionados con la creación de parámetros locales. Acceda al script y utilice sus funcionalidades para solucionar las dificultades que pueda surgir durante la creación de parámetros locales.

Siga estos pasos para ejecutar el script:

1. Descargue el script y ejecútelo con la opción -Help para obtener los parámetros.
2. Inicie sesión con credenciales de dominio en una máquina unida a un dominio. La máquina debe estar en un dominio usado para el Instancia administrada SCOM. Después de iniciar sesión, ejecute el script con los parámetros especificados.
3. Si se produce un error en cualquier validación, realice las acciones correctivas como sugiere el script y vuelva a ejecutar el script hasta que pase todas las validaciones.
4. Una vez que todas las validaciones se realicen correctamente, use los mismos parámetros usados en el script, por ejemplo, la creación.

Comprobaciones y detalles de validación

Validación	Descripción
Comprobaciones de validación de entrada de Azure
Configuración de los requisitos previos en la máquina de prueba	1. Instale el módulo de PowerShell de AD. 2. Instale directiva de grupo módulo de PowerShell.
Conectividad de Internet	Comprueba si la conectividad saliente a Internet está disponible en los servidores de prueba.
Conectividad de SQL MI	Comprueba si se puede acceder a la instancia de SQL MI proporcionada desde la red en la que se crean los servidores de prueba.
Conectividad del servidor DNS	Comprueba si se puede acceder a la dirección IP del servidor DNS proporcionada y se resuelve en un servidor DNS válido.
Conectividad de dominio	Comprueba si el nombre de dominio proporcionado es accesible y se resuelve en un dominio válido.
Validación de unión a un dominio	Comprueba si la unión a un dominio se realiza correctamente mediante la ruta de acceso de unidad organizativa y las credenciales de dominio proporcionadas.
Asociación de FQDN de DIRECCIÓN IP estática y LB	Comprueba si se ha creado un registro DNS para la dirección IP estática proporcionada con el nombre DNS proporcionado.
Validaciones de grupo de equipos	Comprueba si el usuario de dominio proporcionado administra el grupo de equipos proporcionado y el administrador puede actualizar la pertenencia a grupos.
Validaciones de cuentas de gMSA	Comprueba si la gMSA proporcionada: : está habilitada. : tiene su nombre de host DNS establecido en el nombre DNS proporcionado del LB. - Tiene una longitud de nombre de cuenta SAM de 15 caracteres o menos. - Tiene establecido el SPN correcto. Los miembros del grupo de equipos proporcionados pueden recuperar la contraseña.
Validaciones de directiva de grupo	Comprueba si el dominio (o la ruta de acceso de unidad organizativa, que hospeda los servidores de administración) se ve afectado por cualquier directiva de grupo, que modificará el grupo administradores local.
Limpieza posterior a la validación	Desenlaze del dominio.

Directrices generales para ejecutar el script de validación

Durante el proceso de incorporación, se realiza una validación en la fase o pestaña de validación. Si todas las validaciones se realizan correctamente, puede continuar con la fase final de creación de SCOM Instancia administrada. Sin embargo, si se produce un error en las validaciones, no puede continuar con la creación.

En los casos en los que se produce un error en varias validaciones, el mejor enfoque es solucionar todos los problemas a la vez mediante la ejecución manual de un script de validación en un equipo de prueba.

Importante

Inicialmente, cree una máquina virtual (VM) de prueba de Windows Server (2022/2019) en la misma subred seleccionada para la creación de Instancia administrada SCOM. Posteriormente, tanto el administrador de AD como el administrador de red pueden usar individualmente esta máquina virtual para comprobar la eficacia de sus respectivos cambios. Este enfoque ahorra mucho tiempo invertido en la comunicación de ida y vuelta entre el administrador de AD y el administrador de red.

Siga estos pasos para ejecutar el script de validación:

1. Genere una nueva máquina virtual (VM) que se ejecute en Windows Server 2022 o 2019 dentro de la subred elegida para la creación de SCOM Instancia administrada. Inicie sesión en la máquina virtual y configure su servidor DNS para usar la misma dirección IP DNS que se utilizó durante la creación del Instancia administrada SCOM. Por ejemplo, vea lo siguiente:

   

2. Descargue el script de validación en la máquina virtual de prueba y extraiga. Consta de cinco archivos:

   • ScomValidation.ps1
   • RunValidationAsSCOMAdmin.ps1
   • RunValidationAsActiveDirectoryAdmin.ps1
   • RunValidationAsNetworkAdmin.ps1
   • Readme.txt

3. Siga los pasos mencionados en el archivo Readme.txt para ejecutar el RunValidationAsSCOMAdmin.ps1. Asegúrese de rellenar el valor de configuración en RunValidationAsSCOMAdmin.ps1 con valores aplicables antes de ejecutarlo.

   # $settings = @{
   #   Configuration = @{
   #         DomainName="test.com"                 
   #         OuPath= "DC=test,DC=com"           
   #         DNSServerIP = "190.36.1.55"           
   #         UserName="test\testuser"              
   #         Password = "password"                 
   #         SqlDatabaseInstance= "test-sqlmi-instance.023a29518976.database.windows.net" 
   #         ManagementServerGroupName= "ComputerMSG"      
   #         GmsaAccount= "test\testgMSA$"
   #         DnsName= "lbdsnname.test.com"
   #         LoadBalancerIP = "10.88.78.200"
   #     }
   # }
   # Note : Before running this script, please make sure you have provided all the parameters in the settings
   $settings = @{
   Configuration = @{
   DomainName="<domain name>"
   OuPath= "<OU path>"
   DNSServerIP = "<DNS server IP>"
   UserName="<domain user name>"
   Password = "<domain user password>"
   SqlDatabaseInstance= "<SQL MI Host name>"
   ManagementServerGroupName= "<Computer Management server group name>"
   GmsaAccount= "<GMSA account>"
   DnsName= "<DNS name associated with the load balancer IP address>"
   LoadBalancerIP = "<Load balancer IP address>"
   }
   }
   

4. En general, RunValidationAsSCOMAdmin.ps1 ejecuta todas las validaciones. Si desea ejecutar una comprobación específica, abra ScomValidation.ps1 y comente todas las demás comprobaciones, que se encuentran al final del archivo. También puede agregar un punto de interrupción en la comprobación específica para depurar la comprobación y comprender mejor los problemas.

        # Default mode is - SCOMAdmin, by default if mode is not passed then it will run all the validations  

    # adding all the checks to result set 

    try { 

        # Connectivity checks 

        $validationResults += Invoke-ValidateStorageConnectivity $settings 

        $results = ConvertTo-Json $validationResults -Compress 

         

        $validationResults += Invoke-ValidateSQLConnectivity $settings 

        $results = ConvertTo-Json $validationResults -Compress 

 

        $validationResults += Invoke-ValidateDnsIpAddress $settings 

        $results = ConvertTo-Json $validationResults -Compress 

 

        $validationResults += Invoke-ValidateDomainControllerConnectivity $settings 

        $results = ConvertTo-Json $validationResults -Compress 

 

        # Parameter validations 

        $validationResults += Invoke-ValidateDomainJoin $settings 

        $results = ConvertTo-Json $validationResults -Compress 

 

        $validationResults += Invoke-ValidateStaticIPAddressAndDnsname $settings 

        $results = ConvertTo-Json $validationResults -Compress 

 

        $validationResults += Invoke-ValidateComputerGroup $settings 

        $results = ConvertTo-Json $validationResults -Compress 

 

        $validationResults += Invoke-ValidategMSAAccount $settings 

        $results = ConvertTo-Json $validationResults -Compress 

             

        $validationResults += Invoke-ValidateLocalAdminOverideByGPO $settings 

        $results = ConvertTo-Json $validationResults -Compress 

    } 

    catch { 

        Write-Verbose -Verbose  $_ 

    } 

5. El script de validación muestra todas las comprobaciones de validación y sus respectivos errores, lo que ayudará a resolver los problemas de validación. Para una resolución rápida, ejecute el script en PowerShell ISE con punto de interrupción, lo que puede acelerar el proceso de depuración.

   Si todas las comprobaciones se pasan correctamente, vuelva a la página de incorporación y reinicie de nuevo el proceso de incorporación.

Conectividad de Internet

Problema: La conectividad saliente a Internet no existe en los servidores de prueba

Causa: Se produce debido a una dirección IP de servidor DNS incorrecta o a una configuración de red incorrecta.

Solución:

1. Compruebe la dirección IP del servidor DNS y asegúrese de que el servidor DNS está en funcionamiento.
2. Asegúrese de que la red virtual, que se usa para la creación de SCOM Instancia administrada tiene línea de visión al servidor DNS.

Problema: No se puede conectar a la cuenta de almacenamiento para descargar bits de producto de SCOM Instancia administrada

Causa: Se produce debido a un problema con la conectividad a Internet.

Resolución: Compruebe que la red virtual que se usa para la creación de SCOM Instancia administrada tenga acceso saliente a Internet mediante la creación de una máquina virtual de prueba en la misma subred que SCOM Instancia administrada y pruebe la conectividad saliente desde la máquina virtual de prueba.

Problema: error en la prueba de conectividad a Internet. Los puntos de conexión necesarios no son accesibles desde la red virtual

Causa: se produce debido a una dirección IP de servidor DNS incorrecta o a una configuración de red incorrecta.

Solución:

• Compruebe la dirección IP del servidor DNS y asegúrese de que el servidor DNS está en funcionamiento.

• Asegúrese de que la red virtual, que se usa para la creación de SCOM Instancia administrada tiene línea de visión al servidor DNS.

• Asegúrese de que el Instancia administrada SCOM tiene acceso saliente a Internet y NSG/Firewall está configurado correctamente para permitir el acceso a los puntos de conexión necesarios, tal y como se describe en requisitos de firewall.

Pasos generales de solución de problemas para la conectividad a Internet

1. Genere una nueva máquina virtual (VM) que se ejecute en Windows Server 2022 o 2019 dentro de la subred elegida para la creación de SCOM Instancia administrada. Inicie sesión en la máquina virtual y configure su servidor DNS para usar la misma dirección IP DNS que se utilizó durante la creación del Instancia administrada SCOM.

2. Puede seguir las instrucciones paso a paso que se proporcionan a continuación, o si está familiarizado con PowerShell, ejecute la comprobación específica llamada Invoke-ValidateStorageConnectivity en el script deScomValidation.ps1 . Para obtener más información sobre cómo ejecutar el script de validación de forma independiente en la máquina de prueba, consulte Directrices generales para ejecutar el script de validación.

3. Abra PowerShell ISE en modo de administración y establezca Set-ExecutionPolicy como Sin restricciones.

4. Para comprobar la conectividad a Internet, ejecute el siguiente comando:

   Test-NetConnection www.microsoft.com -Port 80
   

   Este comando comprueba la conectividad con www.microsoft.com en el puerto 80. Si se produce un error, indica un problema con la conectividad saliente a Internet.

5. Para comprobar la configuración de DNS, ejecute el siguiente comando:

   Get-DnsClientServerAddress
   

   Este comando recupera las direcciones IP del servidor DNS configuradas en el equipo. Asegúrese de que la configuración de DNS sea correcta y accesible.

6. Para comprobar la configuración de red, ejecute el siguiente comando:

   Get-NetIPConfiguration
   

   Este comando muestra los detalles de configuración de red. Compruebe que la configuración de red sea precisa y que coincida con el entorno de red.

Conectividad de SQL MI

Problema: La conectividad saliente a Internet no existe en los servidores de prueba

Causa: Se produce debido a una dirección IP de servidor DNS incorrecta o a una configuración de red incorrecta.

Solución:

1. Compruebe la dirección IP del servidor DNS y asegúrese de que el servidor DNS está en funcionamiento.
2. Asegúrese de que la red virtual, que se usa para la creación de SCOM Instancia administrada tiene línea de visión al servidor DNS.

Problema: No se pudo configurar el inicio de sesión de base de datos para MSI en la instancia administrada de SQL

Causa: se produce cuando MSI no está configurado correctamente para acceder a la instancia administrada de SQL.

Resolución: compruebe si MSI está configurado como Microsoft Entra Administración en la instancia administrada de SQL. Asegúrese de que los permisos de Microsoft Entra ID necesarios se proporcionan a la instancia administrada de SQL para que funcione la autenticación msi.

Problema: No se pudo conectar a SQL MI desde esta instancia

Causa: Se produce porque la red virtual de MI de SQL no está delegada o no está emparejada correctamente con la red virtual de SCOM Instancia administrada.

Solución:

1. Compruebe que la instancia de SQL MI está configurada correctamente.
2. Asegúrese de que la red virtual, que se usa para la creación de SCOM Instancia administrada tiene línea de visión a la mi de SQL, ya sea en la misma red virtual o en el emparejamiento de VNet.

Pasos generales de solución de problemas para la conectividad de SQL MI

1. Genere una nueva máquina virtual (VM) que se ejecute en Windows Server 2022 o 2019 dentro de la subred elegida para la creación de SCOM Instancia administrada. Inicie sesión en la máquina virtual y configure su servidor DNS para usar la misma dirección IP DNS que se utilizó durante la creación del Instancia administrada SCOM.

2. Puede seguir las instrucciones paso a paso que se proporcionan a continuación, o si está familiarizado con PowerShell, ejecute la comprobación específica llamada Invoke-ValidateSQLConnectivity en el script deScomValidation.ps1 . Para obtener más información sobre cómo ejecutar el script de validación de forma independiente en la máquina de prueba, consulte Directrices generales para ejecutar el script de validación.

3. Abra PowerShell ISE en modo de administración y establezca Set-ExecutionPolicy como Sin restricciones.

4. Para comprobar la conectividad saliente a Internet, ejecute el siguiente comando:

   Test-NetConnection -ComputerName "www.microsoft.com" -Port 80
   

   Este comando comprueba la conectividad saliente a Internet intentando establecer una conexión a www.microsoft.com en el puerto 80. Si se produce un error en la conexión, indica un posible problema con la conectividad a Internet.

5. Para comprobar la configuración de DNS y la configuración de red, asegúrese de que las direcciones IP del servidor DNS estén configuradas correctamente y validen las opciones de configuración de red en la máquina donde se realiza la validación.

6. Para probar la conexión de SQL MI, ejecute el siguiente comando:

   Test-NetConnection -ComputerName $sqlMiName -Port 1433
   

   Reemplace $sqlMiName por el nombre del host de SQL MI.

   Este comando prueba la conexión a la instancia de SQL MI. Si la conexión se realiza correctamente, indica que se puede acceder a la instancia de SQL MI.

Conectividad del servidor DNS

Problema: la dirección IP DNS proporcionada (<IP> DNS) no es correcta o el servidor DNS no es accesible.

Resolución: Compruebe la dirección IP del servidor DNS y asegúrese de que el servidor DNS está en funcionamiento.

Solución general de problemas de conectividad del servidor DNS

1. Genere una nueva máquina virtual (VM) que se ejecute en Windows Server 2022 o 2019 dentro de la subred elegida para la creación de SCOM Instancia administrada. Inicie sesión en la máquina virtual y configure su servidor DNS para usar la misma dirección IP DNS que se utilizó durante la creación del Instancia administrada SCOM.

2. Puede seguir las instrucciones paso a paso que se proporcionan a continuación, o si está familiarizado con PowerShell, ejecute la comprobación específica llamada Invoke-ValidateDnsIpAddress en el script deScomValidation.ps1 . Para obtener más información sobre cómo ejecutar el script de validación de forma independiente en la máquina de prueba, consulte Directrices generales para ejecutar el script de validación.

3. Abra PowerShell ISE en modo de administración y establezca Set-ExecutionPolicy como Sin restricciones.

4. Para comprobar la resolución DNS de la dirección IP especificada, ejecute el siguiente comando:

   Resolve-DnsName -Name $ipAddress -IssueAction SilentlyContinue
   

   Reemplace por $ipAddress la dirección IP que desea validar.

   Este comando comprueba la resolución DNS de la dirección IP proporcionada. Si el comando no devuelve ningún resultado o produce un error, indica un posible problema con la resolución DNS.

5. Para comprobar la conectividad de red con la dirección IP, ejecute el siguiente comando:

   Test-NetConnection -ComputerName $ipAddress -Port 80
   

   Reemplace por $ipAddress la dirección IP que desea probar.

   Este comando comprueba la conectividad de red con la dirección IP especificada en el puerto 80. Si se produce un error en la conexión, sugiere un problema de conectividad de red.

Conectividad de dominio

Problema: el controlador de dominio para el nombre> de dominio de dominio <no es accesible desde esta red o el puerto no está abierto en al menos un controlador de dominio.

Causa: Se produce debido a un problema con la dirección IP del servidor DNS o la configuración de red proporcionadas.

Solución:

1. Compruebe la dirección IP del servidor DNS y asegúrese de que el servidor DNS está en funcionamiento.
2. Asegúrese de que la resolución de nombres de dominio se dirige correctamente al controlador de dominio (DC) designado configurado para Azure o SCOM Instancia administrada. Confirme que este controlador de dominio aparece en la parte superior entre los controladores de dominio resueltos. Si la resolución se dirige a distintos servidores de controlador de dominio, indica un problema con la resolución de dominio de AD.
3. Compruebe el nombre de dominio y asegúrese de que el controlador de dominio configure para Azure y SCOM Instancia administrada esté en funcionamiento.

   Nota

   Los puertos 9389, 389/636, 88, 3268/3269, 135, 445 deben estar abiertos en dc configurado para Azure o SCOM Instancia administrada, y todos los servicios del controlador de dominio deben estar en ejecución.

Pasos generales de solución de problemas para la conectividad de dominio

1. Genere una nueva máquina virtual (VM) que se ejecute en Windows Server 2022 o 2019 dentro de la subred elegida para la creación de SCOM Instancia administrada. Inicie sesión en la máquina virtual y configure su servidor DNS para usar la misma dirección IP DNS que se utilizó durante la creación del Instancia administrada SCOM.

2. Puede seguir las instrucciones paso a paso que se proporcionan a continuación, o si está familiarizado con PowerShell, ejecute la comprobación específica llamada Invoke-ValidateDomainControllerConnectivity en el script deScomValidation.ps1 . Para obtener más información sobre cómo ejecutar el script de validación de forma independiente en la máquina de prueba, consulte Directrices generales para ejecutar el script de validación.

3. Abra PowerShell ISE en modo de administración y establezca Set-ExecutionPolicy como Sin restricciones.

4. Para comprobar la accesibilidad del controlador de dominio, ejecute el siguiente comando:

   Resolve-DnsName -Name $domainName 
   

   Reemplace $domainName por el nombre del dominio que desea probar.

   Asegúrese de que la resolución de nombres de dominio se dirige correctamente al controlador de dominio (DC) designado configurado para Azure o SCOM Instancia administrada. Confirme que este controlador de dominio aparece en la parte superior entre los controladores de dominio resueltos. Si la resolución se dirige a distintos servidores de controlador de dominio, indica un problema con la resolución de dominio de AD.

5. Para comprobar la configuración del servidor DNS:

   • Asegúrese de que la configuración del servidor DNS en la máquina que ejecuta la validación esté configurada correctamente.
   • Compruebe si las direcciones IP del servidor DNS son precisas y accesibles.

6. Para validar la configuración de red:

   • Compruebe los valores de configuración de red en la máquina donde se realiza la validación.
   • Asegúrese de que la máquina está conectada a la red correcta y tiene la configuración de red necesaria para comunicarse con el controlador de dominio.

7. Para probar el puerto necesario en el controlador de dominio, ejecute el siguiente comando:

   Test-NetConnection -ComputerName $domainName -Port $portToCheck
   

   Reemplace $domainName por el nombre del dominio que desea probar y $portToCheck por cada puerto del número de lista siguiente:

   • 389/636
   • 88
   • 3268/3269
   • 135
   • 445

   Ejecute el comando proporcionado para todos los puertos anteriores.

   Este comando comprueba si el puerto especificado está abierto en el controlador de dominio designado configurado para azure o SCOM Instancia administrada creación. Si el comando muestra una conexión correcta, indica que los puertos necesarios están abiertos.

Validación de unión a un dominio

Problema: Los servidores de administración de pruebas no se pudieron unir al dominio

Causa: Se produce debido a una ruta de acceso de unidad organizativa incorrecta, credenciales incorrectas o un problema en la conectividad de red.

Solución:

1. Compruebe las credenciales creadas en el almacén de claves. El nombre de usuario y el secreto de contraseña deben reflejar el nombre de usuario y el formato correctos del valor de nombre de usuario deben ser domain\username y password, que tienen permisos para unir una máquina al dominio. De forma predeterminada, las cuentas de usuario solo pueden agregar hasta 10 equipos al dominio. Para configurarlo, consulte Límite predeterminado al número si las estaciones de trabajo que un usuario puede unirse al dominio.
2. Compruebe que la ruta de acceso de la unidad organizativa es correcta y no impide que los equipos nuevos se unan al dominio.

Pasos generales de solución de problemas para la validación de unión a un dominio

1. Genere una nueva máquina virtual (VM) que se ejecute en Windows Server 2022 o 2019 dentro de la subred elegida para la creación de SCOM Instancia administrada. Inicie sesión en la máquina virtual y configure su servidor DNS para que use la misma dirección IP DNS que se utilizó durante la creación del Instancia administrada de SCOM.

2. Puede seguir las instrucciones paso a paso que se proporcionan a continuación o, si está familiarizado con PowerShell, ejecute la comprobación específica llamada Invoke-ValidateDomainJoin en el script deScomValidation.ps1 . Para obtener más información sobre cómo ejecutar el script de validación de forma independiente en la máquina de prueba, consulte Directrices generales para ejecutar el script de validación.

3. Abra PowerShell ISE en modo de administración y establezca Set-ExecutionPolicy como Sin restricciones.

4. Una la máquina virtual a un dominio mediante la cuenta de dominio que se usa en la creación de SCOM Instancia administrada. Para unir el dominio a una máquina mediante credenciales, ejecute el siguiente comando:

   
   $domainName = "<domainname>"
   
   
   $domainJoinCredentials = New-Object pscredential -ArgumentList ("<username>", (ConvertTo-SecureString "password" -AsPlainText -Force))
   
   
   
   $ouPath = "<OU path>"
   if (![String]::IsNullOrWhiteSpace($ouPath)) {
   $domainJoinResult = Add-Computer -DomainName $domainName -Credential $domainJoinCredentials -OUPath $ouPath -Force -WarningAction SilentlyContinue -ErrorAction SilentlyContinue
   }
   else {
   $domainJoinResult = Add-Computer -DomainName $domainName -Credential $domainJoinCredentials -Force -WarningAction SilentlyContinue -ErrorAction SilentlyContinue
   }   
   

   Reemplace el nombre de usuario, la contraseña, $domainName $ouPath por los valores correctos.

   Después de ejecutar el comando anterior, ejecute el siguiente comando para comprobar si la máquina se ha unido correctamente al dominio:

   Get-WmiObject -Class Win32_ComputerSystem | Select-Object -ExpandProperty PartOfDomain
   

Asociación de FQDN de IP estática y LB

Problema: no se pudieron ejecutar pruebas porque los servidores no se pudieron unir al dominio

Resolución: Asegúrese de que las máquinas pueden unirse al dominio. Siga los pasos de solución de problemas de la sección Validación de unión a un dominio.

Problema: no se pudo resolver el nombre DNS del nombre <> DNS

Resolución: El nombre DNS proporcionado no existe en los registros DNS. Compruebe el nombre DNS y asegúrese de que está correctamente asociado a la dirección IP estática proporcionada.

Problema: la dirección IP <> estática estática proporcionada y Load Balancer nombre> DNS <no coincide.

Resolución: Compruebe los registros DNS y proporcione la combinación correcta de nombres DNS/IP estática. Para obtener más información, consulte Creación de una dirección IP estática y configuración del nombre DNS.

Pasos generales de solución de problemas para la asociación de FQDN estática y IP estática

1. Genere una nueva máquina virtual que se ejecute en Windows Server 2022 o 2019 dentro de la subred elegida para la creación de SCOM Instancia administrada. Inicie sesión en la máquina virtual y configure su servidor DNS para que use la misma dirección IP DNS que se utilizó durante la creación del Instancia administrada de SCOM.

2. Puede seguir las instrucciones paso a paso que se proporcionan a continuación o, si está familiarizado con PowerShell, ejecute la comprobación específica llamada Invoke-ValidateStaticIPAddressAndDnsname en el script deScomValidation.ps1 . Para obtener más información sobre cómo ejecutar el script de validación de forma independiente en la máquina de prueba, consulte Directrices generales para ejecutar el script de validación.

3. Abra PowerShell ISE en modo de administración y establezca Set-ExecutionPolicy como Sin restricciones.

4. Una la máquina virtual a un dominio mediante la cuenta de dominio que se usa en la creación de Instancia administrada SCOM. Para unir la máquina virtual al dominio, siga los pasos proporcionados en la sección Validación de unión a un dominio.

5. Obtenga la dirección IP y el nombre DNS asociado y ejecute los siguientes comandos para ver si coinciden. Resuelva el nombre DNS y capture la dirección IP real:

   $DNSRecord = Resolve-DnsName -Name $DNSName
   $ActualIP = $DNSRecord.IPAddress
   

   Si no se puede resolver el nombre DNS, asegúrese de que el nombre DNS sea válido y asociado a la dirección IP real.

Validaciones de grupo de equipos

Problema: No se pudo ejecutar la prueba porque los servidores no se pudieron unir al dominio

Resolución: Asegúrese de que las máquinas pueden unirse al dominio. Siga los pasos de solución de problemas especificados en la sección Validación de unión a un dominio.

Problema: No se encontró el grupo de equipos con el nombre <del grupo> de equipos en el dominio.

Resolución: Compruebe la existencia del grupo y compruebe el nombre proporcionado o cree uno si aún no se ha creado.

Problema: el nombre del grupo <de equipos de entrada no lo administra el nombre> de usuario del dominio de usuario <.>

Resolución: Vaya a las propiedades del grupo y establezca este usuario como administrador. Para obtener más información, vea Crear y configurar un grupo de equipos.

Problema: el nombre de usuario> del dominio de administrador <del nombre> del grupo <de equipos de entrada no tiene los permisos necesarios para administrar la pertenencia a grupos.

Resolución: Vaya a las propiedades de grupo y active la casilla Administrar puede actualizar la lista de pertenencia . Para obtener más información, vea Crear y configurar un grupo de equipos.

Pasos generales de solución de problemas para validaciones de grupos de equipos

1. Genere una nueva máquina virtual que se ejecute en Windows Server 2022 o 2019 dentro de la subred elegida para la creación de SCOM Instancia administrada. Inicie sesión en la máquina virtual y configure su servidor DNS para que use la misma dirección IP DNS que se utilizó durante la creación del Instancia administrada de SCOM.

2. Puede seguir las instrucciones paso a paso que se proporcionan a continuación o, si está familiarizado con PowerShell, ejecute la comprobación específica llamada Invoke-ValidateComputerGroup en el script deScomValidation.ps1 . Para obtener más información sobre cómo ejecutar el script de validación de forma independiente en la máquina de prueba, consulte Directrices generales para ejecutar el script de validación.

3. Una la máquina virtual a un dominio mediante la cuenta de dominio que se usa en la creación de SCOM Instancia administrada. Para unir la máquina virtual al dominio, siga los pasos proporcionados en la sección Validación de unión a un dominio.

4. Abra PowerShell ISE en modo de administración y establezca Set-ExecutionPolicy como Sin restricciones.

5. Ejecute el siguiente comando para importar módulos:

   Add-WindowsFeature RSAT-AD-PowerShell -ErrorAction SilentlyContinue
   Add-WindowsFeature GPMC -ErrorAction SilentlyContinue
   

6. Para comprobar si la máquina virtual está unida al dominio, ejecute el siguiente comando:

   Get-WmiObject -Class Win32_ComputerSystem | Select-Object -ExpandProperty PartOfDomain
   

7. Para comprobar la existencia del dominio y si la máquina actual ya está unida al dominio, ejecute el siguiente comando:

   $domainJoinCredentials = New-Object pscredential -ArgumentList ("<username>", (ConvertTo-SecureString "password" -AsPlainText -Force)) 
   $Domain = Get-ADDomain -Current LocalComputer -Credential $domainUserCredentials
   

   Reemplace $username, password por los valores aplicables.

8. Para comprobar la existencia del usuario en el dominio, ejecute el siguiente comando:

   $DomainUser = Get-ADUser -Identity $username -Credential $domainUserCredentials
   

   Reemplace $username, $domainUserCredentials por los valores aplicables.

9. Para comprobar la existencia del grupo de equipos en el dominio, ejecute el siguiente comando:

   $ComputerGroup = Get-ADGroup -Identity $computerGroupName -Properties ManagedBy,DistinguishedName -Credential $domainUserCredentials
   

   Reemplace $computerGroupName, $domainUserCredentials por los valores aplicables.

10. Si el usuario y el grupo de equipos existen, determine si el usuario es el administrador del grupo de equipos.

    Import-Module ActiveDirectory
      	$DomainDN = $Domain.DistinguishedName
      $GroupDN = $ComputerGroup.DistinguishedName
     $RightsGuid = [GUID](Get-ItemProperty "AD:\CN=Self-Membership,CN=Extended-Rights,CN=Configuration,$DomainDN" -Name rightsGuid -Credential $domainUserCredentials | Select-Object -ExpandProperty rightsGuid)
    
      # Run Get ACL under the give credentials
      $job = Start-Job -ScriptBlock {
          param (
              [Parameter(Mandatory = $true)]
              [string] $GroupDN,
              [Parameter(Mandatory = $true)]
              [GUID] $RightsGuid
          )
    
      Import-Module ActiveDirectory
      $AclRule = (Get-Acl -Path "AD:\$GroupDN").GetAccessRules($true,$true,[System.Security.Principal.SecurityIdentifier]) |  Where-Object {($_.ObjectType -eq $RightsGuid) -and ($_.ActiveDirectoryRights -like '*WriteProperty*')}
          return $AclRule
    
      } -ArgumentList $GroupDN, $RightsGuid -Credential $domainUserCredentials
    
      $timeoutSeconds = 20
      $jobResult = Wait-Job $job -Timeout $timeoutSeconds
    
      # Job did not complete within the timeout
      if ($null -eq $jobResult) {
          Write-Host "Checking permissions, timeout after 10 seconds."
          Remove-Job $job -Force
      } else {
          # Job completed within the timeout
          $AclRule = Receive-Job $job
          Remove-Job $job -Force
      }
    
      $managerCanUpdateMembership = $false
      if (($null -ne $AclRule) -and ($AclRule.AccessControlType -eq 'Allow') -and ($AclRule.IdentityReference -eq $DomainUser.SID)) {
          $managerCanUpdateMembership = $true
    
    

    Si managerCanUpdateMembership es True, el usuario del dominio tiene permiso de pertenencia de actualización en el grupo de equipos. Si managerCanUpdateMembership es False, asigne permiso de administración al grupo de equipos al usuario del dominio.

Validaciones de cuentas de gMSA

Problema: la prueba no se ejecuta porque los servidores no se pudieron unir al dominio

Resolución: Asegúrese de que las máquinas pueden unirse al dominio. Siga los pasos de solución de problemas especificados en la sección Validación de unión a un dominio.

Problema: El grupo de equipos con el nombre <del grupo> de equipos no se encuentra en el dominio. Los miembros de este grupo deben poder recuperar la contraseña de gMSA.

Resolución: Compruebe la existencia del grupo y compruebe el nombre proporcionado.

Problema: gMSA con el dominio de nombre <gMSA> no se encontró en el dominio

Resolución: Compruebe la existencia de la cuenta de gMSA y compruebe el nombre proporcionado o cree uno nuevo si aún no se ha creado.

Problema: gMSA <del dominio gMSA> no está habilitado

Resolución: Habilitela con el siguiente comando:

Set-ADServiceAccount -Identity <domain gMSA> -Enabled $true

Problema: gMSA de dominio gMSA <> debe tener su nombre de host DNS establecido en <Nombre DNS>

Resolución: La gMSA no tiene la DNSHostName propiedad establecida correctamente. Establezca la DNSHostName propiedad con el siguiente comando:

Set-ADServiceAccount -Identity <domain gMSA> -DNSHostName <DNS Name>

Problema: el nombre de la cuenta sam para gMSA <de dominio gMSA> supera el límite de 15 caracteres.

Resolución: Establezca mediante SamAccountName el comando siguiente:

Set-ADServiceAccount -Identity <domain gMSA> -SamAccountName <shortname$>

Problema: <El nombre> del grupo de equipos del grupo de equipos debe establecerse como PrincipalsAllowedToRetrieveManagedPassword para gMSA <de dominio gMSA.>

Resolución: La gMSA no se ha PrincipalsAllowedToRetrieveManagedPassword ajustado correctamente. Establezca mediante PrincipalsAllowedToRetrieveManagedPassword el comando siguiente:

Set-ADServiceAccount -Identity <domain gMSA> - PrincipalsAllowedToRetrieveManagedPassword <computer group name>

Problema: los SPN no se han establecido correctamente para el dominio gMSA de gMSA <>

Resolución: La gMSA no tiene los nombres de entidad de seguridad de servicio correctos establecidos. Establezca los nombres de entidad de seguridad de servicio mediante el siguiente comando:

Set-ADServiceAccount -Identity <domain gMSA> -ServicePrincipalNames <set of SPNs>

Pasos generales de solución de problemas para validaciones de cuentas de gMSA

1. Genere una nueva máquina virtual que se ejecute en Windows Server 2022 o 2019 dentro de la subred elegida para la creación de SCOM Instancia administrada. Inicie sesión en la máquina virtual y configure su servidor DNS para que use la misma dirección IP DNS que se utilizó durante la creación del Instancia administrada de SCOM.

2. Puede seguir las instrucciones paso a paso que se proporcionan a continuación o, si está familiarizado con PowerShell, ejecute la comprobación específica llamada Invoke-ValidategMSAAccount en el script deScomValidation.ps1 . Para obtener más información sobre cómo ejecutar el script de validación de forma independiente en la máquina de prueba, consulte Directrices generales para ejecutar el script de validación.

3. Una la máquina virtual a un dominio mediante la cuenta de dominio que se usa en la creación de SCOM Instancia administrada. Para unir la máquina virtual al dominio, siga los pasos proporcionados en la sección Validación de unión a un dominio.

4. Abra PowerShell ISE en modo de administración y establezca Set-ExecutionPolicy como Sin restricciones.

5. Ejecute el siguiente comando para importar módulos:

   Add-WindowsFeature RSAT-AD-PowerShell -ErrorAction SilentlyContinue
   Add-WindowsFeature GPMC -ErrorAction SilentlyContinue
   

6. Para comprobar que los servidores se han unido correctamente al dominio, ejecute el siguiente comando:

   (Get-WmiObject -Class Win32_ComputerSystem).PartOfDomain
   

7. Para comprobar la existencia del grupo de equipos, ejecute el siguiente comando:

   $Credentials = New-Object pscredential -ArgumentList ("<username>", (ConvertTo-SecureString "password" -AsPlainText -Force))
   $adGroup = Get-ADGroup -Identity $computerGroupName -Properties ManagedBy,DistinguishedName -Credential $Credentials
   

   Reemplace username, password y computerGroupName por los valores aplicables.

8. Para comprobar la existencia de la cuenta de gMSA, ejecute el siguiente comando:

   $adServiceAccount = Get-ADServiceAccount -Identity gMSAAccountName -Properties DNSHostName,Enabled,PrincipalsAllowedToRetrieveManagedPassword,SamAccountName,ServicePrincipalNames -Credential $Credentials
   

9. Para validar las propiedades de la cuenta de gMSA, compruebe si la cuenta de gMSA está habilitada:

   (Get-ADServiceAccount -Identity <GmsaAccount>).Enabled
   

   Si el comando devuelve False, habilite la cuenta en el dominio.

10. Para comprobar que el nombre de host DNS de la cuenta de gMSA coincide con el nombre DNS proporcionado (nombre DNS de LB), ejecute los siguientes comandos:

    (Get-ADServiceAccount -Identity <GmsaAccount>).DNSHostName
    

    Si el comando no devuelve el nombre DNS esperado, actualice el nombre de host DNS de gMsaAccount a nombre DNS de LB.

11. Asegúrese de que el nombre de la cuenta de Sam para la cuenta gMSA no supere el límite de 15 caracteres:

    (Get-ADServiceAccount -Identity <GmsaAccount>).SamAccountName.Length
    

12. Para validar la PrincipalsAllowedToRetrieveManagedPassword propiedad , ejecute los siguientes comandos:

    Compruebe si el grupo de equipos especificado está establecido como "PrincipalsAllowedToRetrieveManagedPassword" para la cuenta de gMSA:

    (Get-ADServiceAccount -Identity <GmsaAccount>).PrincipalsAllowedToRetrieveManagedPassword -contains (Get-ADGroup -Identity <ComputerGroupName>).DistinguishedName
    

    Reemplace gMSAAccount y ComputerGroupName por los valores aplicables.

13. Para validar los nombres de entidad de seguridad de servicio (SPN) de la cuenta de gMSA, ejecute el siguiente comando:

    $CorrectSPNs = @("MSOMSdkSvc/$dnsHostName", "MSOMSdkSvc/$dnsName", "MSOMHSvc/$dnsHostName", "MSOMHSvc/$dnsName")
    (Get-ADServiceAccount -Identity <GmsaAccount>).ServicePrincipalNames
    

    Compruebe si los resultados tienen SPN correctos. Reemplace por $dnsName el nombre DNS de LB especificado en la creación del Instancia administrada de SCOM. Reemplace por $dnsHostName el nombre corto de DNS de LB. Por ejemplo: MSOMHSvc/ContosoLB.domain.com, MSOMHSvc/ContosoLB, MSOMSdkSvc/ContosoLB.domain.com y MSOMSdkSvc/ContosoLB son nombres de entidad de seguridad de servicio.

Validaciones de directiva de grupo

Importante

Para corregir las directivas de GPO, colabore con el administrador de Active Directory y excluya System Center Operations Manager de las siguientes directivas:

• GPO que modifican o invalidan las configuraciones del grupo de administradores locales.
• GPO que desactivan la autenticación de red.
• Evalúe los GPO que impedieron el inicio de sesión remoto para los administradores locales.

Problema: Esta prueba no se pudo ejecutar porque los servidores no se pudieron unir al dominio

Resolución: Asegúrese de que las máquinas se unen al dominio. Siga los pasos de solución de problemas de la sección Validación de unión a un dominio.

Problema: no se encontró gMSA con el dominio de nombre <gMSA> en el dominio. Esta cuenta debe ser un administrador local en el servidor.

Resolución: Compruebe la existencia de la cuenta y asegúrese de que la gMSA y el usuario de dominio forman parte del grupo de administradores local.

Problema: No <se pudo agregar el nombre> de usuario de dominio y <la gMSA> de dominio a los administradores locales en los servidores de administración de pruebas o no se ha conservado en el grupo después de la actualización de la directiva de grupo.

Resolución: Asegúrese de que el nombre de usuario de dominio y las entradas gMSA proporcionadas sean correctos, incluido el nombre completo (dominio\cuenta). Compruebe también si hay alguna directiva de grupo en el equipo de prueba que invalide el grupo de administradores local debido a las directivas creadas en el nivel de unidad organizativa o dominio. gMSA y el usuario de dominio deben formar parte del grupo de administradores local para que SCOM Instancia administrada funcione. Las máquinas Instancia administrada SCOM deben excluirse de cualquier directiva que invalide el grupo de administradores local (trabaje con el administrador de AD).

Problema: error en la Instancia administrada de SCOM

Causa: Una directiva de grupo en el dominio (nombre: nombre> de <la directiva de grupo) reemplaza el grupo administradores local en los servidores de administración de pruebas, ya sea en la unidad organizativa que contiene los servidores o la raíz del dominio.

Resolución: Asegúrese de que la unidad organizativa de los servidores de administración de SCOM Instancia administrada (<ruta> de acceso de unidad organizativa) no se ve afectada por ninguna directiva invalidar el grupo.

Pasos generales de solución de problemas para validaciones de directivas de grupo

1. Genere una nueva máquina virtual que se ejecute en Windows Server 2022 o 2019 dentro de la subred elegida para la creación de SCOM Instancia administrada. Inicie sesión en la máquina virtual y configure su servidor DNS para que use la misma dirección IP DNS que se utilizó durante la creación del Instancia administrada de SCOM.

2. Puede seguir las instrucciones paso a paso que se proporcionan a continuación o, si está familiarizado con PowerShell, ejecute la comprobación específica llamada Invoke-ValidateLocalAdminOverideByGPO en el script deScomValidation.ps1 . Para obtener más información sobre cómo ejecutar el script de validación de forma independiente en la máquina de prueba, consulte Directrices generales para ejecutar el script de validación.

3. Una la máquina virtual a un dominio mediante la cuenta de dominio que se usa en la creación de SCOM Instancia administrada. Para unir la máquina virtual al dominio, siga los pasos proporcionados en la sección Validación de unión a un dominio.

4. Abra PowerShell ISE en modo de administración y establezca Set-ExecutionPolicy como Sin restricciones.

5. Ejecute los siguientes comandos para importar módulos:

   Add-WindowsFeature RSAT-AD-PowerShell -ErrorAction SilentlyContinue
   Add-WindowsFeature GPMC -ErrorAction SilentlyContinue
   

6. Para comprobar si los servidores se han unido correctamente al dominio, ejecute el siguiente comando:

   (Get-WmiObject -Class Win32_ComputerSystem).PartOfDomain
   

   El comando debe devolver True.

7. Para comprobar la existencia de la cuenta de gMSA, ejecute el siguiente comando:

   Get-ADServiceAccount -Identity <GmsaAccount>
   

8. Para validar la presencia de cuentas de usuario en el grupo administradores local, ejecute el siguiente comando:

   $domainJoinCredentials = New-Object pscredential -ArgumentList ("<username>", (ConvertTo-SecureString "password" -AsPlainText -Force)) 
   $addToAdminResult = Add-LocalGroupMember -Group "Administrators" -Member $userName, $gMSAccount -ErrorAction SilentlyContinue 
   $gpUpdateResult = gpupdate /force 
   $LocalAdmins = Get-LocalGroupMember -Group 'Administrators' | Select-Object -ExpandProperty Name
   

   Reemplace y <UserName><GmsaAccount> por los valores reales.

9. Para determinar los detalles del dominio y de la unidad organizativa (OU), ejecute el siguiente comando:

   Get-ADOrganizationalUnit -Filter "DistinguishedName -like '$ouPathDN'" -Properties CanonicalName -Credential $domainUserCredentials
   

   <Reemplace OuPathDN> por la ruta de acceso de la unidad organizativa real.

10. Para obtener el informe de GPO (directiva de grupo Object) del dominio y comprobar si hay directivas invalidando en el grupo administradores local, ejecute el siguiente comando:

     [xml]$gpoReport = Get-GPOReport -All -ReportType Xml -Domain <domain name>
     foreach ($GPO in $gpoReport.GPOS.GPO) {
         # Check if the GPO links to the entire domain, or the input OU if provided
         if (($GPO.LinksTo.SOMPath -eq $domainName) -or ($GPO.LinksTo.SOMPath -eq $ouPathCN)) {
             # Check if there is a policy overriding the Local Users and Groups
             if ($GPO.Computer.ExtensionData.Extension.LocalUsersAndGroups.Group) {
             $GroupPolicy = $GPO.Computer.ExtensionData.Extension.LocalUsersAndGroups.Group | Select-Object @{Name='RemoveUsers';Expression={$_.Properties.deleteAllUsers}},@{Name='RemoveGroups';Expression={$_.Properties.deleteAllGroups}},@{Name='GroupName';Expression={$_.Properties.groupName}}
             # Check if the policy is acting on the BUILTIN\Administrators group, and whether it is removing other users or groups
             if (($GroupPolicy.groupName -eq "Administrators (built-in)") -and (($GroupPolicy.RemoveUsers -eq 1) -or ($GroupPolicy.RemoveGroups -eq 1))) {
              $overridingPolicyFound = $true
              $overridingPolicyName = $GPO.Name
                 }
             }
         }
     }
     if($overridingPolicyFound) {
      Write-Warning "Validation failed. A group policy in your domain (name: $overridingPolicyName) is overriding the local Administrators group on this machine. This will cause SCOM MI installation to fail. Please ensure that the OU for SCOM MI Management Servers is not affected by this policy"
     }
     else {
      Write-Output "Validation suceeded. No group policy found in your domain which overrides local Administrators. "
     }
    

Si la ejecución del script genera una advertencia como Error de validación, hay una directiva (nombre como en el mensaje de advertencia) que invalida el grupo de administradores local. Consulte con el administrador de Active Directory y excluya el servidor de administración de System Center Operations Manager de la directiva.