Rozwiązywanie problemów z często występującymi błędami podczas weryfikowania parametrów wejściowych

W tym artykule opisano błędy, które mogą wystąpić podczas weryfikowania parametrów wejściowych i sposobu ich rozwiązywania.

Jeśli wystąpią jakiekolwiek problemy podczas tworzenia parametrów lokalnych, użyj tego skryptu , aby uzyskać pomoc.

Ten skrypt jest przeznaczony do rozwiązywania i rozwiązywania problemów związanych z tworzeniem parametrów lokalnych. Uzyskaj dostęp do skryptu i skorzystaj z jego funkcji, aby rozwiązać wszelkie problemy, które mogą wystąpić podczas tworzenia parametrów lokalnych.

Wykonaj następujące kroki, aby uruchomić skrypt:

1. Pobierz skrypt i uruchom go za pomocą opcji -Help , aby pobrać parametry.
2. Zaloguj się przy użyciu poświadczeń domeny na maszynie przyłączonej do domeny. Maszyna musi znajdować się w domenie używanej dla wystąpienia zarządzanego programu SCOM. Po zalogowaniu uruchom skrypt z określonymi parametrami.
3. Jeśli jakakolwiek walidacja nie powiedzie się, wykonaj akcje naprawcze sugerowane przez skrypt i uruchom ponownie skrypt do momentu przejścia wszystkich walidacji.
4. Po pomyślnym zakończeniu wszystkich walidacji użyj tych samych parametrów używanych w skrycie, aby utworzyć wystąpienie.

Sprawdzanie poprawności i szczegóły

Walidacja	Opis
Sprawdzanie poprawności danych wejściowych platformy Azure
Konfigurowanie wymagań wstępnych na maszynie testowej	1. Zainstaluj moduł programu AD PowerShell. 2. Zainstaluj moduł zasady grupy PowerShell.
Łączność z Internetem	Sprawdza, czy wychodząca łączność z Internetem jest dostępna na serwerach testowych.
Łączność wystąpienia zarządzanego SQL	Sprawdza, czy podany program SQL MI jest dostępny z sieci, w której są tworzone serwery testowe.
Łączność z serwerem DNS	Sprawdza, czy podany adres IP serwera DNS jest osiągalny i rozpoznawany jako prawidłowy serwer DNS.
Łączność z domeną	Sprawdza, czy podana nazwa domeny jest osiągalna i rozpoznawana jako prawidłowa domena.
Walidacja przyłączania do domeny	Sprawdza, czy przyłączenie do domeny powiedzie się przy użyciu podanej ścieżki jednostki organizacyjnej i poświadczeń domeny.
Skojarzenie statycznego adresu IP i nazwy FQDN modułu równoważenia obciążenia	Sprawdza, czy dla podanego statycznego adresu IP został utworzony rekord DNS pod podaną nazwą DNS.
Walidacje grup komputerów	Sprawdza, czy podana grupa komputerów jest zarządzana przez podanego użytkownika domeny, a menedżer może zaktualizować członkostwo w grupie.
Weryfikacje konta usługi gMSA	Sprawdza, czy podana usługa gMSA: — jest włączona. — Ma nazwę hosta DNS ustawioną na podaną nazwę DNS modułu równoważenia obciążenia. — Ma długość nazwy konta SAM o długości 15 znaków lub mniej. - Ma zestaw odpowiednich nazw SPN. Hasło można pobrać przez członków podanej grupy komputerów.
Walidacje zasad grupy	Sprawdza, czy domena (lub ścieżka jednostki organizacyjnej, która hostuje serwery zarządzania) ma wpływ na dowolne zasady grupy, które zmienią lokalną grupę Administratorzy.
Czyszczenie po weryfikacji	Odsuń od domeny.

Ogólne wskazówki dotyczące uruchamiania skryptu weryfikacji

Podczas procesu dołączania walidacja jest przeprowadzana na etapie/karcie walidacji. Jeśli wszystkie weryfikacje zakończyły się pomyślnie, możesz przejść do ostatniego etapu tworzenia wystąpienia zarządzanego programu SCOM. Jeśli jednak jakiekolwiek weryfikacje nie powiedzą się, nie można kontynuować tworzenia.

W przypadku niepowodzenia wielu walidacji najlepszym rozwiązaniem jest rozwiązanie wszystkich problemów jednocześnie przez ręczne uruchomienie skryptu weryfikacji na maszynie testowej.

Ważne

Początkowo utwórz nową testową maszynę wirtualną z systemem Windows Server (2022/2019) w tej samej podsieci wybranej do utworzenia wystąpienia zarządzanego programu SCOM. Następnie zarówno administrator usługi AD, jak i administrator sieci mogą indywidualnie korzystać z tej maszyny wirtualnej, aby zweryfikować skuteczność odpowiednich zmian. Takie podejście znacznie oszczędza czas spędzony na komunikacji między administratorem usługi AD i administratorem sieci.

Wykonaj następujące kroki, aby uruchomić skrypt weryfikacji:

1. Wygeneruj nową maszynę wirtualną działającą w systemie Windows Server 2022 lub 2019 w wybranej podsieci na potrzeby tworzenia wystąpienia zarządzanego programu SCOM. Zaloguj się do maszyny wirtualnej i skonfiguruj serwer DNS, aby używał tego samego adresu IP DNS, który został użyty podczas tworzenia wystąpienia zarządzanego programu SCOM. Na przykład zobacz poniżej:

   

2. Pobierz skrypt weryfikacji do testowej maszyny wirtualnej i wyodrębnij. Składa się z pięciu plików:

   • ScomValidation.ps1
   • RunValidationAsSCOMAdmin.ps1
   • RunValidationAsActiveDirectoryAdmin.ps1
   • RunValidationAsNetworkAdmin.ps1
   • Readme.txt

3. Wykonaj kroki wymienione w pliku Readme.txt, aby uruchomić RunValidationAsSCOMAdmin.ps1. Przed uruchomieniem upewnij się, że wypełnij wartość ustawień w RunValidationAsSCOMAdmin.ps1 z odpowiednimi wartościami.

   # $settings = @{
   #   Configuration = @{
   #         DomainName="test.com"                 
   #         OuPath= "DC=test,DC=com"           
   #         DNSServerIP = "190.36.1.55"           
   #         UserName="test\testuser"              
   #         Password = "password"                 
   #         SqlDatabaseInstance= "test-sqlmi-instance.023a29518976.database.windows.net" 
   #         ManagementServerGroupName= "ComputerMSG"      
   #         GmsaAccount= "test\testgMSA$"
   #         DnsName= "lbdsnname.test.com"
   #         LoadBalancerIP = "10.88.78.200"
   #     }
   # }
   # Note : Before running this script, please make sure you have provided all the parameters in the settings
   $settings = @{
   Configuration = @{
   DomainName="<domain name>"
   OuPath= "<OU path>"
   DNSServerIP = "<DNS server IP>"
   UserName="<domain user name>"
   Password = "<domain user password>"
   SqlDatabaseInstance= "<SQL MI Host name>"
   ManagementServerGroupName= "<Computer Management server group name>"
   GmsaAccount= "<GMSA account>"
   DnsName= "<DNS name associated with the load balancer IP address>"
   LoadBalancerIP = "<Load balancer IP address>"
   }
   }
   

4. Ogólnie rzecz biorąc, RunValidationAsSCOMAdmin.ps1 uruchamia wszystkie weryfikacje. Jeśli chcesz uruchomić określone sprawdzanie, otwórz ScomValidation.ps1 i oznacz wszystkie inne kontrole jako komentarz, które znajdują się na końcu pliku. Możesz również dodać punkt przerwania w konkretnym czeku, aby debugować sprawdzanie i lepiej zrozumieć problemy.

        # Default mode is - SCOMAdmin, by default if mode is not passed then it will run all the validations  

    # adding all the checks to result set 

    try { 

        # Connectivity checks 

        $validationResults += Invoke-ValidateStorageConnectivity $settings 

        $results = ConvertTo-Json $validationResults -Compress 

         

        $validationResults += Invoke-ValidateSQLConnectivity $settings 

        $results = ConvertTo-Json $validationResults -Compress 

 

        $validationResults += Invoke-ValidateDnsIpAddress $settings 

        $results = ConvertTo-Json $validationResults -Compress 

 

        $validationResults += Invoke-ValidateDomainControllerConnectivity $settings 

        $results = ConvertTo-Json $validationResults -Compress 

 

        # Parameter validations 

        $validationResults += Invoke-ValidateDomainJoin $settings 

        $results = ConvertTo-Json $validationResults -Compress 

 

        $validationResults += Invoke-ValidateStaticIPAddressAndDnsname $settings 

        $results = ConvertTo-Json $validationResults -Compress 

 

        $validationResults += Invoke-ValidateComputerGroup $settings 

        $results = ConvertTo-Json $validationResults -Compress 

 

        $validationResults += Invoke-ValidategMSAAccount $settings 

        $results = ConvertTo-Json $validationResults -Compress 

             

        $validationResults += Invoke-ValidateLocalAdminOverideByGPO $settings 

        $results = ConvertTo-Json $validationResults -Compress 

    } 

    catch { 

        Write-Verbose -Verbose  $_ 

    } 

5. Skrypt weryfikacji wyświetla wszystkie kontrole weryfikacji i ich odpowiednie błędy, co pomoże rozwiązać problemy z walidacją. Aby szybko rozwiązać ten problem, uruchom skrypt w programie PowerShell ISE z punktem przerwania, który może przyspieszyć proces debugowania.

   Jeśli wszystkie testy pomyślnie przejdą, wróć do strony dołączania i ponownie uruchom proces dołączania.

Łączność z Internetem

Problem: Łączność z Internetem dla ruchu wychodzącego nie istnieje na serwerach testowych

Spowodować: Występuje z powodu nieprawidłowego adresu IP serwera DNS lub nieprawidłowej konfiguracji sieci.

Rozwiązanie:

1. Sprawdź adres IP serwera DNS i upewnij się, że serwer DNS jest uruchomiony.
2. Upewnij się, że sieć wirtualna, która jest używana do tworzenia wystąpienia zarządzanego programu SCOM, ma widok na serwerze DNS.

Problem: Nie można nawiązać połączenia z kontem magazynu w celu pobrania bitów produktu wystąpienia zarządzanego programu SCOM

Spowodować: Występuje z powodu problemu z łącznością z Internetem.

Rozdzielczość: Sprawdź, czy sieć wirtualna używana do tworzenia wystąpienia zarządzanego SCOM ma wychodzący dostęp do Internetu, tworząc testową maszynę wirtualną w tej samej podsieci co wystąpienie zarządzane SCOM i przetestuj łączność wychodzącą z testowej maszyny wirtualnej.

Problem: Test łączności z Internetem nie powiódł się. Wymagane punkty końcowe nie są osiągalne z sieci wirtualnej

Przyczyna: występuje z powodu nieprawidłowego adresu IP serwera DNS lub nieprawidłowej konfiguracji sieci.

Rozwiązanie:

• Sprawdź adres IP serwera DNS i upewnij się, że serwer DNS jest uruchomiony.

• Upewnij się, że sieć wirtualna, która jest używana do tworzenia wystąpienia zarządzanego programu SCOM, ma widok na serwerze DNS.

• Upewnij się, że wystąpienie zarządzane SCOM ma wychodzący dostęp do Internetu, a sieciowa grupa zabezpieczeń/zapora została prawidłowo skonfigurowana tak, aby zezwalać na dostęp do wymaganych punktów końcowych zgodnie z opisem w wymaganiach zapory.

Ogólne kroki rozwiązywania problemów z łącznością z Internetem

1. Wygeneruj nową maszynę wirtualną działającą w systemie Windows Server 2022 lub 2019 w wybranej podsieci na potrzeby tworzenia wystąpienia zarządzanego programu SCOM. Zaloguj się do maszyny wirtualnej i skonfiguruj serwer DNS, aby używał tego samego adresu IP DNS, który został użyty podczas tworzenia wystąpienia zarządzanego programu SCOM.

2. Możesz postępować zgodnie z instrukcjami krok po kroku podanymi poniżej lub jeśli znasz program PowerShell, wykonaj określoną kontrolę wywołaną Invoke-ValidateStorageConnectivity w skrypcie ScomValidation.ps1 . Aby uzyskać więcej informacji na temat uruchamiania skryptu weryfikacji niezależnie na maszynie testowej, zobacz Ogólne wskazówki dotyczące uruchamiania skryptu weryfikacji.

3. Otwórz program PowerShell ISE w trybie administracyjnym i ustaw wartość Set-ExecutionPolicy jako Nieograniczone.

4. Aby sprawdzić łączność z Internetem, uruchom następujące polecenie:

   Test-NetConnection www.microsoft.com -Port 80
   

   To polecenie weryfikuje łączność z www.microsoft.com na porcie 80. Jeśli to się nie powiedzie, oznacza to problem z wychodzącą łącznością internetową.

5. Aby sprawdzić ustawienia DNS, uruchom następujące polecenie:

   Get-DnsClientServerAddress
   

   To polecenie pobiera adresy IP serwera DNS skonfigurowane na maszynie. Upewnij się, że ustawienia DNS są poprawne i dostępne.

6. Aby sprawdzić konfigurację sieci, uruchom następujące polecenie:

   Get-NetIPConfiguration
   

   To polecenie wyświetla szczegóły konfiguracji sieci. Sprawdź, czy ustawienia sieci są dokładne i pasują do środowiska sieciowego.

Łączność wystąpienia zarządzanego SQL

Problem: Łączność z Internetem dla ruchu wychodzącego nie istnieje na serwerach testowych

Spowodować: Występuje z powodu nieprawidłowego adresu IP serwera DNS lub nieprawidłowej konfiguracji sieci.

Rozwiązanie:

1. Sprawdź adres IP serwera DNS i upewnij się, że serwer DNS jest uruchomiony.
2. Upewnij się, że sieć wirtualna, która jest używana do tworzenia wystąpienia zarządzanego programu SCOM, ma widok na serwerze DNS.

Problem: Nie można skonfigurować logowania bazy danych dla tożsamości usługi ZARZĄDZANEj usługi ZARZĄDZANEj SQL

Przyczyna: występuje, gdy usługa MSI nie jest prawidłowo skonfigurowana do uzyskiwania dostępu do wystąpienia zarządzanego SQL.

Rozwiązanie: sprawdź, czy tożsamość msi jest skonfigurowana jako Microsoft Entra Administracja w wystąpieniu zarządzanym SQL. Upewnij się, że wymagane uprawnienia Tożsamość Microsoft Entra są udostępniane wystąpieniu zarządzanemu SQL na potrzeby uwierzytelniania msi.

Problem: Nie można nawiązać połączenia z wystąpieniem SQL MI z tego wystąpienia

Spowodować: Występuje, gdy sieć wirtualna programu SQL MI nie jest delegowana lub nie jest prawidłowo równorzędna z siecią wirtualną wystąpienia zarządzanego SCOM.

Rozwiązanie:

1. Sprawdź, czy program SQL MI jest poprawnie skonfigurowany.
2. Upewnij się, że sieć wirtualna, która jest używana do tworzenia wystąpienia zarządzanego SCOM, ma widok do wystąpienia zarządzanego SQL, będąc w tej samej sieci wirtualnej lub przez komunikację równorzędną sieci wirtualnych.

Ogólne kroki rozwiązywania problemów z łącznością z programem SQL MI

1. Wygeneruj nową maszynę wirtualną działającą w systemie Windows Server 2022 lub 2019 w wybranej podsieci na potrzeby tworzenia wystąpienia zarządzanego programu SCOM. Zaloguj się do maszyny wirtualnej i skonfiguruj serwer DNS, aby używał tego samego adresu IP DNS, który został użyty podczas tworzenia wystąpienia zarządzanego programu SCOM.

2. Możesz postępować zgodnie z instrukcjami krok po kroku podanymi poniżej lub jeśli znasz program PowerShell, wykonaj określoną kontrolę wywołaną Invoke-ValidateSQLConnectivity w skrypcie ScomValidation.ps1 . Aby uzyskać więcej informacji na temat uruchamiania skryptu weryfikacji niezależnie na maszynie testowej, zobacz Ogólne wskazówki dotyczące uruchamiania skryptu weryfikacji.

3. Otwórz program PowerShell ISE w trybie administracyjnym i ustaw wartość Set-ExecutionPolicy jako Nieograniczone.

4. Aby sprawdzić wychodzącą łączność internetową, uruchom następujące polecenie:

   Test-NetConnection -ComputerName "www.microsoft.com" -Port 80
   

   To polecenie weryfikuje wychodzącą łączność internetową, próbując nawiązać połączenie z www.microsoft.com na porcie 80. Jeśli połączenie nie powiedzie się, oznacza to potencjalny problem z łącznością z Internetem.

5. Aby sprawdzić ustawienia DNS i konfigurację sieci, upewnij się, że adresy IP serwera DNS są poprawnie skonfigurowane i zweryfikuj ustawienia konfiguracji sieci na maszynie, na której jest wykonywana walidacja.

6. Aby przetestować połączenie programu SQL MI, uruchom następujące polecenie:

   Test-NetConnection -ComputerName $sqlMiName -Port 1433
   

   Zastąp $sqlMiName ciąg nazwą hosta programu SQL MI.

   To polecenie testuje połączenie z wystąpieniem programu SQL MI. Jeśli połączenie zakończy się pomyślnie, oznacza to, że wystąpienie zarządzane SQL jest osiągalne.

Łączność z serwerem DNS

Problem: Podany adres IP DNS (<ADRES> IP DNS) jest nieprawidłowy lub serwer DNS nie jest osiągalny

Rozdzielczość: Sprawdź adres IP serwera DNS i upewnij się, że serwer DNS jest uruchomiony.

Ogólne rozwiązywanie problemów z łącznością serwera DNS

1. Wygeneruj nową maszynę wirtualną działającą w systemie Windows Server 2022 lub 2019 w wybranej podsieci na potrzeby tworzenia wystąpienia zarządzanego programu SCOM. Zaloguj się do maszyny wirtualnej i skonfiguruj serwer DNS, aby używał tego samego adresu IP DNS, który został użyty podczas tworzenia wystąpienia zarządzanego programu SCOM.

2. Możesz postępować zgodnie z instrukcjami krok po kroku podanymi poniżej lub jeśli znasz program PowerShell, wykonaj określoną kontrolę wywołaną Invoke-ValidateDnsIpAddress w skrypcie ScomValidation.ps1 . Aby uzyskać więcej informacji na temat uruchamiania skryptu weryfikacji niezależnie na maszynie testowej, zobacz Ogólne wskazówki dotyczące uruchamiania skryptu weryfikacji.

3. Otwórz program PowerShell ISE w trybie administracyjnym i ustaw wartość Set-ExecutionPolicy jako Nieograniczone.

4. Aby sprawdzić rozpoznawanie nazw DNS dla określonego adresu IP, uruchom następujące polecenie:

   Resolve-DnsName -Name $ipAddress -IssueAction SilentlyContinue
   

   Zastąp ciąg $ipAddress adresem IP, który chcesz zweryfikować.

   To polecenie sprawdza rozpoznawanie nazw DNS dla podanego adresu IP. Jeśli polecenie nie zwraca żadnych wyników lub zgłasza błąd, wskazuje potencjalny problem z rozpoznawaniem nazw DNS.

5. Aby sprawdzić łączność sieciową z adresem IP, uruchom następujące polecenie:

   Test-NetConnection -ComputerName $ipAddress -Port 80
   

   Zastąp ciąg $ipAddress adresem IP, który chcesz przetestować.

   To polecenie sprawdza łączność sieciową z określonym adresem IP na porcie 80. Jeśli połączenie nie powiedzie się, sugeruje to problem z łącznością sieciową.

Łączność z domeną

Problem: Kontroler domeny dla nazwy> domeny <nie jest osiągalny z tej sieci lub port nie jest otwarty na co najmniej jednym kontrolerze domeny

Spowodować: Występuje z powodu problemu z podanym adresem IP serwera DNS lub konfiguracją sieci.

Rozwiązanie:

1. Sprawdź adres IP serwera DNS i upewnij się, że serwer DNS jest uruchomiony.
2. Upewnij się, że rozpoznawanie nazw domen jest prawidłowo kierowane do wyznaczonego kontrolera domeny skonfigurowanego dla wystąpienia zarządzanego platformy Azure lub SCOM. Upewnij się, że ten kontroler domeny znajduje się u góry wśród rozpoznanych kontrolerów domeny. Jeśli rozwiązanie jest kierowane do różnych serwerów kontrolera domeny, wskazuje problem z rozpoznawaniem domeny usługi AD.
3. Sprawdź nazwę domeny i upewnij się, że kontroler domeny skonfigurowany dla usługi Azure i wystąpienia zarządzanego SCOM jest uruchomiony.

   Uwaga

   Porty 9389, 389/636, 88, 3268/3269, 135, 445 powinny być otwarte na kontrolerze domeny skonfigurowanym dla usługi Azure lub SCOM Managed Instance, a wszystkie usługi na kontrolerze domeny powinny być uruchomione.

Ogólne kroki rozwiązywania problemów z łącznością z domeną

1. Wygeneruj nową maszynę wirtualną działającą w systemie Windows Server 2022 lub 2019 w wybranej podsieci na potrzeby tworzenia wystąpienia zarządzanego programu SCOM. Zaloguj się do maszyny wirtualnej i skonfiguruj serwer DNS, aby używał tego samego adresu IP DNS, który został użyty podczas tworzenia wystąpienia zarządzanego programu SCOM.

2. Możesz postępować zgodnie z instrukcjami krok po kroku podanymi poniżej lub jeśli znasz program PowerShell, wykonaj określoną kontrolę wywołaną Invoke-ValidateDomainControllerConnectivity w skrypcie ScomValidation.ps1 . Aby uzyskać więcej informacji na temat uruchamiania skryptu weryfikacji niezależnie na maszynie testowej, zobacz Ogólne wskazówki dotyczące uruchamiania skryptu weryfikacji.

3. Otwórz program PowerShell ISE w trybie administracyjnym i ustaw wartość Set-ExecutionPolicy jako Nieograniczone.

4. Aby sprawdzić dostępność kontrolera domeny, uruchom następujące polecenie:

   Resolve-DnsName -Name $domainName 
   

   Zastąp $domainName ciąg nazwą domeny, którą chcesz przetestować.

   Upewnij się, że rozpoznawanie nazw domen jest prawidłowo kierowane do wyznaczonego kontrolera domeny skonfigurowanego dla wystąpienia zarządzanego platformy Azure lub SCOM. Upewnij się, że ten kontroler domeny znajduje się u góry wśród rozpoznanych kontrolerów domeny. Jeśli rozwiązanie jest kierowane do różnych serwerów kontrolera domeny, wskazuje problem z rozpoznawaniem domeny usługi AD.

5. Aby sprawdzić ustawienia serwera DNS:

   • Upewnij się, że ustawienia serwera DNS na maszynie z uruchomioną walidacją są poprawnie skonfigurowane.
   • Sprawdź, czy adresy IP serwera DNS są dokładne i dostępne.

6. Aby zweryfikować konfigurację sieci:

   • Sprawdź ustawienia konfiguracji sieci na maszynie, na której jest wykonywana walidacja.
   • Upewnij się, że maszyna jest połączona z poprawną siecią i ma niezbędne ustawienia sieciowe do komunikowania się z kontrolerem domeny.

7. Aby przetestować wymagany port na kontrolerze domeny, uruchom następujące polecenie:

   Test-NetConnection -ComputerName $domainName -Port $portToCheck
   

   Zastąp $domainName ciąg nazwą domeny, którą chcesz przetestować, a $portToCheck każdy port z następującego numeru listy:

   • 389/636
   • 88
   • 3268/3269
   • 135
   • 445

   Wykonaj podane polecenie dla wszystkich powyższych portów.

   To polecenie sprawdza, czy określony port jest otwarty na wyznaczonym kontrolerze domeny skonfigurowanym na potrzeby tworzenia wystąpienia zarządzanego platformy Azure lub programu SCOM. Jeśli polecenie wyświetli pomyślne połączenie, oznacza to, że wymagane porty są otwarte.

Walidacja przyłączania do domeny

Problem: Nie można dołączyć do domeny serwerów zarządzania testami

Spowodować: Występuje z powodu nieprawidłowej ścieżki jednostki organizacyjnej, nieprawidłowych poświadczeń lub problemu w łączności sieciowej.

Rozwiązanie:

1. Sprawdź poświadczenia utworzone w magazynie kluczy. Wpis tajny nazwy użytkownika i hasła musi odzwierciedlać poprawną nazwę użytkownika i format wartości nazwy użytkownika musi być domeną\nazwą użytkownika i hasłem, które mają uprawnienia do dołączania maszyny do domeny. Domyślnie konta użytkowników mogą dodawać maksymalnie 10 komputerów do domeny. Aby skonfigurować, zobacz Domyślny limit liczby, jeśli stacje robocze, które użytkownik może dołączyć do domeny.
2. Sprawdź, czy ścieżka jednostki organizacyjnej jest poprawna i nie blokuje dołączania nowych komputerów do domeny.

Ogólne kroki rozwiązywania problemów dotyczące walidacji przyłączania do domeny

1. Wygeneruj nową maszynę wirtualną działającą w systemie Windows Server 2022 lub 2019 w wybranej podsieci na potrzeby tworzenia wystąpienia zarządzanego programu SCOM. Zaloguj się do maszyny wirtualnej i skonfiguruj serwer DNS, aby używał tego samego adresu IP DNS, który został użyty podczas tworzenia wystąpienia zarządzanego programu SCOM.

2. Możesz postępować zgodnie z instrukcjami krok po kroku podanymi poniżej lub jeśli znasz program PowerShell, wykonaj określoną kontrolę wywołaną Invoke-ValidateDomainJoin w skrypcie ScomValidation.ps1 . Aby uzyskać więcej informacji na temat uruchamiania skryptu weryfikacji niezależnie na maszynie testowej, zobacz Ogólne wskazówki dotyczące uruchamiania skryptu weryfikacji.

3. Otwórz program PowerShell ISE w trybie administracyjnym i ustaw wartość Set-ExecutionPolicy jako Nieograniczone.

4. Dołącz maszynę wirtualną do domeny przy użyciu konta domeny używanego w tworzeniu wystąpienia zarządzanego programu SCOM. Aby dołączyć domenę do maszyny przy użyciu poświadczeń, uruchom następujące polecenie:

   
   $domainName = "<domainname>"
   
   
   $domainJoinCredentials = New-Object pscredential -ArgumentList ("<username>", (ConvertTo-SecureString "password" -AsPlainText -Force))
   
   
   
   $ouPath = "<OU path>"
   if (![String]::IsNullOrWhiteSpace($ouPath)) {
   $domainJoinResult = Add-Computer -DomainName $domainName -Credential $domainJoinCredentials -OUPath $ouPath -Force -WarningAction SilentlyContinue -ErrorAction SilentlyContinue
   }
   else {
   $domainJoinResult = Add-Computer -DomainName $domainName -Credential $domainJoinCredentials -Force -WarningAction SilentlyContinue -ErrorAction SilentlyContinue
   }   
   

   Zastąp nazwę użytkownika, hasło, $domainName, $ouPath odpowiednimi wartościami.

   Po uruchomieniu powyższego polecenia uruchom następujące polecenie, aby sprawdzić, czy maszyna została pomyślnie przyłączona do domeny:

   Get-WmiObject -Class Win32_ComputerSystem | Select-Object -ExpandProperty PartOfDomain
   

Skojarzenie statycznego adresu IP i nazwy FQDN modułu równoważenia obciążenia

Problem: Nie można uruchomić testów, ponieważ serwery nie mogły dołączyć do domeny

Rozdzielczość: Upewnij się, że maszyny mogą dołączyć do domeny. Wykonaj kroki rozwiązywania problemów z sekcji Walidacja przyłączania do domeny.

Problem: Nie można rozpoznać nazwy DNS nazwy <> DNS

Rozdzielczość: Podana nazwa DNS nie istnieje w rekordach DNS. Sprawdź nazwę DNS i upewnij się, że jest on poprawnie skojarzony z podanym statycznym adresem IP.

Problem: Podany statyczny statyczny adres IP <> i Load Balancer nazwa> DNS DNS <nie jest zgodna

Rozdzielczość: Sprawdź rekordy DNS i podaj poprawną kombinację nazw DNS/statycznych adresów IP. Aby uzyskać więcej informacji, zobacz Tworzenie statycznego adresu IP i konfigurowanie nazwy DNS.

Ogólne kroki rozwiązywania problemów dotyczące skojarzenia statycznego adresu IP i nazwy FQDN modułu równoważenia obciążenia

1. Wygeneruj nową maszynę wirtualną działającą w systemie Windows Server 2022 lub 2019 w wybranej podsieci na potrzeby tworzenia wystąpienia zarządzanego programu SCOM. Zaloguj się do maszyny wirtualnej i skonfiguruj serwer DNS, aby używał tego samego adresu IP DNS, który został użyty podczas tworzenia wystąpienia zarządzanego programu SCOM.

2. Możesz postępować zgodnie z instrukcjami krok po kroku podanymi poniżej lub jeśli znasz program PowerShell, wykonaj określoną kontrolę wywołaną Invoke-ValidateStaticIPAddressAndDnsname w skrypcie ScomValidation.ps1 . Aby uzyskać więcej informacji na temat uruchamiania skryptu weryfikacji niezależnie na maszynie testowej, zobacz Ogólne wskazówki dotyczące uruchamiania skryptu weryfikacji.

3. Otwórz program PowerShell ISE w trybie administracyjnym i ustaw wartość Set-ExecutionPolicy jako Nieograniczone.

4. Dołącz maszynę wirtualną do domeny przy użyciu konta domeny używanego w tworzeniu wystąpienia zarządzanego programu SCOM. Aby dołączyć maszynę wirtualną do domeny, wykonaj kroki opisane w sekcji Walidacja przyłączania do domeny.

5. Pobierz adres IP i skojarzona nazwa DNS i uruchom następujące polecenia, aby sprawdzić, czy są one zgodne. Rozwiąż nazwę DNS i pobierz rzeczywisty adres IP:

   $DNSRecord = Resolve-DnsName -Name $DNSName
   $ActualIP = $DNSRecord.IPAddress
   

   Jeśli nie można rozpoznać nazwy DNS, upewnij się, że nazwa DNS jest prawidłowa i skojarzona z rzeczywistym adresem IP.

Walidacje grup komputerów

Problem: nie można uruchomić testu, ponieważ serwery nie mogły dołączyć do domeny

Rozdzielczość: Upewnij się, że maszyny mogą dołączyć do domeny. Wykonaj kroki rozwiązywania problemów określone w sekcji Walidacja przyłączania do domeny.

Problem: Nie można odnaleźć grupy komputerów o nazwie <> grupy komputerów w domenie

Rozdzielczość: Sprawdź istnienie grupy i sprawdź podaną nazwę lub utwórz nową, jeśli jeszcze nie została utworzona.

Problem: Nazwa> grupy komputerów wejściowych grupy <komputerów nie jest zarządzana przez nazwę użytkownika domeny użytkownika <>

Rozdzielczość: Przejdź do właściwości grupy i ustaw tego użytkownika jako menedżera. Aby uzyskać więcej informacji, zobacz Tworzenie i konfigurowanie grupy komputerów.

Problem: Nazwa użytkownika> domeny menedżera <nazwy> grupy komputerów wejściowych grupy <komputerów nie ma niezbędnych uprawnień do zarządzania członkostwem w grupie

Rozdzielczość: Przejdź do właściwości grupy i zaznacz pole wyboru Zarządzaj może zaktualizować listę członkostwa . Aby uzyskać więcej informacji, zobacz Tworzenie i konfigurowanie grupy komputerów.

Ogólne kroki rozwiązywania problemów dotyczące walidacji grup komputerów

1. Wygeneruj nową maszynę wirtualną działającą w systemie Windows Server 2022 lub 2019 w wybranej podsieci na potrzeby tworzenia wystąpienia zarządzanego programu SCOM. Zaloguj się do maszyny wirtualnej i skonfiguruj serwer DNS, aby używał tego samego adresu IP DNS, który został użyty podczas tworzenia wystąpienia zarządzanego programu SCOM.

2. Możesz postępować zgodnie z instrukcjami krok po kroku podanymi poniżej lub jeśli znasz program PowerShell, wykonaj określoną kontrolę wywołaną Invoke-ValidateComputerGroup w skrypcie ScomValidation.ps1 . Aby uzyskać więcej informacji na temat uruchamiania skryptu weryfikacji niezależnie na maszynie testowej, zobacz Ogólne wskazówki dotyczące uruchamiania skryptu weryfikacji.

3. Dołącz maszynę wirtualną do domeny przy użyciu konta domeny używanego w tworzeniu wystąpienia zarządzanego programu SCOM. Aby dołączyć maszynę wirtualną do domeny, wykonaj kroki opisane w sekcji Walidacja przyłączania do domeny.

4. Otwórz program PowerShell ISE w trybie administracyjnym i ustaw wartość Set-ExecutionPolicy jako Nieograniczone.

5. Uruchom następujące polecenie, aby zaimportować moduły:

   Add-WindowsFeature RSAT-AD-PowerShell -ErrorAction SilentlyContinue
   Add-WindowsFeature GPMC -ErrorAction SilentlyContinue
   

6. Aby sprawdzić, czy maszyna wirtualna jest przyłączona do domeny, uruchom następujące polecenie:

   Get-WmiObject -Class Win32_ComputerSystem | Select-Object -ExpandProperty PartOfDomain
   

7. Aby sprawdzić istnienie domeny i jeśli bieżąca maszyna jest już przyłączona do domeny, uruchom następujące polecenie:

   $domainJoinCredentials = New-Object pscredential -ArgumentList ("<username>", (ConvertTo-SecureString "password" -AsPlainText -Force)) 
   $Domain = Get-ADDomain -Current LocalComputer -Credential $domainUserCredentials
   

   Zastąp ciąg $username, password odpowiednimi wartościami.

8. Aby sprawdzić istnienie użytkownika w domenie, uruchom następujące polecenie:

   $DomainUser = Get-ADUser -Identity $username -Credential $domainUserCredentials
   

   Zastąp $usernameelement , $domainUserCredentials odpowiednimi wartościami

9. Aby sprawdzić istnienie grupy komputerów w domenie, uruchom następujące polecenie:

   $ComputerGroup = Get-ADGroup -Identity $computerGroupName -Properties ManagedBy,DistinguishedName -Credential $domainUserCredentials
   

   Zastąp ciąg $computerGroupName, $domainUserCredentials odpowiednimi wartościami.

10. Jeśli grupa użytkowników i komputerów istnieje, ustal, czy użytkownik jest menedżerem grupy komputerów.

    Import-Module ActiveDirectory
      	$DomainDN = $Domain.DistinguishedName
      $GroupDN = $ComputerGroup.DistinguishedName
     $RightsGuid = [GUID](Get-ItemProperty "AD:\CN=Self-Membership,CN=Extended-Rights,CN=Configuration,$DomainDN" -Name rightsGuid -Credential $domainUserCredentials | Select-Object -ExpandProperty rightsGuid)
    
      # Run Get ACL under the give credentials
      $job = Start-Job -ScriptBlock {
          param (
              [Parameter(Mandatory = $true)]
              [string] $GroupDN,
              [Parameter(Mandatory = $true)]
              [GUID] $RightsGuid
          )
    
      Import-Module ActiveDirectory
      $AclRule = (Get-Acl -Path "AD:\$GroupDN").GetAccessRules($true,$true,[System.Security.Principal.SecurityIdentifier]) |  Where-Object {($_.ObjectType -eq $RightsGuid) -and ($_.ActiveDirectoryRights -like '*WriteProperty*')}
          return $AclRule
    
      } -ArgumentList $GroupDN, $RightsGuid -Credential $domainUserCredentials
    
      $timeoutSeconds = 20
      $jobResult = Wait-Job $job -Timeout $timeoutSeconds
    
      # Job did not complete within the timeout
      if ($null -eq $jobResult) {
          Write-Host "Checking permissions, timeout after 10 seconds."
          Remove-Job $job -Force
      } else {
          # Job completed within the timeout
          $AclRule = Receive-Job $job
          Remove-Job $job -Force
      }
    
      $managerCanUpdateMembership = $false
      if (($null -ne $AclRule) -and ($AclRule.AccessControlType -eq 'Allow') -and ($AclRule.IdentityReference -eq $DomainUser.SID)) {
          $managerCanUpdateMembership = $true
    
    

    Jeśli managerCanUpdateMembership ma wartość True, użytkownik domeny ma uprawnienie do aktualizowania członkostwa w grupie komputerów. Jeśli managerCanUpdateMembership ma wartość Fałsz, nadaj grupie komputerów uprawnienia do zarządzania użytkownikiem domeny.

Weryfikacje konta usługi gMSA

Problem: test nie jest uruchamiany, ponieważ serwery nie mogą dołączyć do domeny

Rozdzielczość: Upewnij się, że maszyny mogą dołączyć do domeny. Wykonaj kroki rozwiązywania problemów określone w sekcji Walidacja przyłączania do domeny.

Problem: Grupa komputerów z nazwą <> grupy komputerów nie znajduje się w domenie. Członkowie tej grupy muszą mieć możliwość pobrania hasła gMSA

Rozdzielczość: Sprawdź istnienie grupy i sprawdź podaną nazwę.

Problem: nie można odnaleźć konta gMSA> z nazwą <domeny w domenie

Rozdzielczość: Sprawdź istnienie konta gMSA i sprawdź podaną nazwę lub utwórz nową, jeśli jeszcze nie została utworzona.

Problem: gMSA domeny gMSA <> nie jest włączona

Rozdzielczość: Włącz go przy użyciu następującego polecenia:

Set-ADServiceAccount -Identity <domain gMSA> -Enabled $true

Problem: gMSA domeny gMSA <> musi mieć nazwę hosta DNS ustawioną na <nazwę DNS>

Rozdzielczość: Usługa gMSA nie ma poprawnie ustawionej DNSHostName właściwości. DNSHostName Ustaw właściwość przy użyciu następującego polecenia:

Set-ADServiceAccount -Identity <domain gMSA> -DNSHostName <DNS Name>

Problem: Nazwa konta Sam dla grupy gMSA domeny gMSA <> przekracza limit 15 znaków

Rozdzielczość:SamAccountName Ustaw polecenie przy użyciu następującego polecenia:

Set-ADServiceAccount -Identity <domain gMSA> -SamAccountName <shortname$>

Problem: Nazwa> grupy komputerów grupy <komputerów musi być ustawiona jako PrincipalsAllowedToRetrieveManagedPassword dla domeny gMSA domeny gMSA <>

Rozdzielczość: Usługa gMSA nie ma PrincipalsAllowedToRetrieveManagedPassword ustawionego poprawnie. PrincipalsAllowedToRetrieveManagedPassword Ustaw polecenie przy użyciu następującego polecenia:

Set-ADServiceAccount -Identity <domain gMSA> - PrincipalsAllowedToRetrieveManagedPassword <computer group name>

Problem: Nazwy SPN nie zostały poprawnie ustawione dla domeny gMSA gMSA <>

Rozdzielczość: GMSA nie ma poprawnych głównych nazw usługi. Ustaw nazwy główne usługi za pomocą następującego polecenia:

Set-ADServiceAccount -Identity <domain gMSA> -ServicePrincipalNames <set of SPNs>

Ogólne kroki rozwiązywania problemów z weryfikacją konta usługi gMSA

1. Wygeneruj nową maszynę wirtualną działającą w systemie Windows Server 2022 lub 2019 w wybranej podsieci na potrzeby tworzenia wystąpienia zarządzanego programu SCOM. Zaloguj się do maszyny wirtualnej i skonfiguruj serwer DNS, aby używał tego samego adresu IP DNS, który został użyty podczas tworzenia wystąpienia zarządzanego programu SCOM.

2. Możesz postępować zgodnie z instrukcjami krok po kroku podanymi poniżej lub jeśli znasz program PowerShell, wykonaj określoną kontrolę wywołaną Invoke-ValidategMSAAccount w skrypcie ScomValidation.ps1 . Aby uzyskać więcej informacji na temat uruchamiania skryptu weryfikacji niezależnie na maszynie testowej, zobacz Ogólne wskazówki dotyczące uruchamiania skryptu weryfikacji.

3. Dołącz maszynę wirtualną do domeny przy użyciu konta domeny używanego w tworzeniu wystąpienia zarządzanego programu SCOM. Aby dołączyć maszynę wirtualną do domeny, wykonaj kroki opisane w sekcji Walidacja przyłączania do domeny.

4. Otwórz program PowerShell ISE w trybie administracyjnym i ustaw wartość Set-ExecutionPolicy jako Nieograniczone.

5. Uruchom następujące polecenie, aby zaimportować moduły:

   Add-WindowsFeature RSAT-AD-PowerShell -ErrorAction SilentlyContinue
   Add-WindowsFeature GPMC -ErrorAction SilentlyContinue
   

6. Aby sprawdzić, czy serwery zostały pomyślnie przyłączone do domeny, uruchom następujące polecenie:

   (Get-WmiObject -Class Win32_ComputerSystem).PartOfDomain
   

7. Aby sprawdzić istnienie grupy komputerów, uruchom następujące polecenie:

   $Credentials = New-Object pscredential -ArgumentList ("<username>", (ConvertTo-SecureString "password" -AsPlainText -Force))
   $adGroup = Get-ADGroup -Identity $computerGroupName -Properties ManagedBy,DistinguishedName -Credential $Credentials
   

   Zastąp wartości nazwa użytkownika, hasło i nazwa_grupy_komputera odpowiednimi wartościami.

8. Aby sprawdzić istnienie konta usługi gMSA, uruchom następujące polecenie:

   $adServiceAccount = Get-ADServiceAccount -Identity gMSAAccountName -Properties DNSHostName,Enabled,PrincipalsAllowedToRetrieveManagedPassword,SamAccountName,ServicePrincipalNames -Credential $Credentials
   

9. Aby zweryfikować właściwości konta usługi gMSA, sprawdź, czy konto gMSA jest włączone:

   (Get-ADServiceAccount -Identity <GmsaAccount>).Enabled
   

   Jeśli polecenie zwraca wartość False, włącz konto w domenie.

10. Aby sprawdzić, czy nazwa hosta DNS konta usługi gMSA jest zgodna z podaną nazwą DNS (nazwa DNS modułu równoważenia obciążenia), uruchom następujące polecenia:

    (Get-ADServiceAccount -Identity <GmsaAccount>).DNSHostName
    

    Jeśli polecenie nie zwraca oczekiwanej nazwy DNS, zaktualizuj nazwę hosta DNS usługi gMsaAccount na nazwę DNS modułu równoważenia obciążenia.

11. Upewnij się, że nazwa konta Sam dla konta usługi gMSA nie przekracza limitu 15 znaków:

    (Get-ADServiceAccount -Identity <GmsaAccount>).SamAccountName.Length
    

12. Aby zweryfikować PrincipalsAllowedToRetrieveManagedPassword właściwość, uruchom następujące polecenia:

    Sprawdź, czy określona grupa komputerów jest ustawiona jako "PrincipalsAllowedToRetrieveManagedPassword" dla konta gMSA:

    (Get-ADServiceAccount -Identity <GmsaAccount>).PrincipalsAllowedToRetrieveManagedPassword -contains (Get-ADGroup -Identity <ComputerGroupName>).DistinguishedName
    

    Zastąp gMSAAccount wartości i ComputerGroupName odpowiednimi wartościami.

13. Aby zweryfikować główne nazwy usługi (SPN) dla konta gMSA, uruchom następujące polecenie:

    $CorrectSPNs = @("MSOMSdkSvc/$dnsHostName", "MSOMSdkSvc/$dnsName", "MSOMHSvc/$dnsHostName", "MSOMHSvc/$dnsName")
    (Get-ADServiceAccount -Identity <GmsaAccount>).ServicePrincipalNames
    

    Sprawdź, czy wyniki mają poprawne nazwy SPN. Zastąp $dnsName ciąg nazwą DNS modułu równoważenia obciążenia podaną podczas tworzenia wystąpienia zarządzanego SCOM. Zastąp ciąg $dnsHostName krótką nazwą DNS modułu równoważenia obciążenia. Na przykład: MSOMHSvc/ContosoLB.domain.com, MSOMHSvc/ContosoLB, MSOMSdkSvc/ContosoLB.domain.com i MSOMSdkSvc/ContosoLB to nazwy główne usługi.

Walidacje zasad grupy

Ważne

Aby rozwiązać problemy z zasadami obiektu zasad grupy, współpracuj z administratorem usługi Active Directory i wyklucz program System Center Operations Manager z poniższych zasad:

• Obiekty zasad grupy, które modyfikują lub zastępują konfiguracje grupy administratorów lokalnych.
• Obiekty zasad grupy dezaktywujące uwierzytelnianie sieciowe.
• Oceń obiekty zasad grupy, które utrudniają logowanie zdalne dla administratorów lokalnych.

Problem: Nie można uruchomić tego testu, ponieważ serwery nie mogły dołączyć do domeny

Rozdzielczość: Upewnij się, że maszyny przyłączą się do domeny. Wykonaj kroki rozwiązywania problemów z sekcji Walidacja przyłączania do domeny.

Problem: nie można odnaleźć grupy gMSA> z nazwą <domeny w domenie. To konto musi być administratorem lokalnym na serwerze

Rozdzielczość: Sprawdź istnienie konta i upewnij się, że grupa gMSA i użytkownik domeny są częścią lokalnej grupy administratorów.

Problem: Nie <można dodać nazwy użytkownika> domeny kont i <domeny usługi gMSA> do lokalnej grupy Administratorzy na serwerach zarządzania testowego lub nie utrwalone w grupie po aktualizacji zasad grupy

Rozdzielczość: Upewnij się, że podana nazwa użytkownika domeny i dane wejściowe gMSA są poprawne, łącznie z pełną nazwą (domena\konto). Sprawdź również, czy na maszynie testowej istnieją zasady grupy zastępujące lokalną grupę Administratorzy z powodu zasad utworzonych na poziomie jednostki organizacyjnej lub domeny. GMSA i użytkownik domeny muszą być częścią lokalnej grupy administratorów, aby wystąpienie zarządzane SCOM działało. Maszyny wystąpienia zarządzanego SCOM muszą zostać wykluczone z wszelkich zasad przesłaniających lokalną grupę administratorów (pracować z administratorem usługi AD).

Problem: Wystąpienie zarządzane SCOM nie powiodło się

Spowodować: Zasady grupy w domenie (nazwa: <nazwa> zasad grupy) zastępują lokalną grupę Administratorzy na serwerach zarządzania testowego, w jednostkach organizacyjnych zawierających serwery lub katalog główny domeny.

Rozdzielczość: Upewnij się, że jednostka organizacyjna dla serwerów zarządzania wystąpieniami zarządzanymi SCOM (<ścieżka> jednostki organizacyjnej) nie ma wpływu na żadne zasady zastąpienia grupy.

Ogólne kroki rozwiązywania problemów dotyczące walidacji zasad grupy

1. Wygeneruj nową maszynę wirtualną działającą w systemie Windows Server 2022 lub 2019 w wybranej podsieci na potrzeby tworzenia wystąpienia zarządzanego programu SCOM. Zaloguj się do maszyny wirtualnej i skonfiguruj serwer DNS, aby używał tego samego adresu IP DNS, który został użyty podczas tworzenia wystąpienia zarządzanego programu SCOM.

2. Możesz postępować zgodnie z instrukcjami krok po kroku podanymi poniżej lub jeśli znasz program PowerShell, wykonaj określoną kontrolę wywołaną Invoke-ValidateLocalAdminOverideByGPO w skrypcie ScomValidation.ps1 . Aby uzyskać więcej informacji na temat uruchamiania skryptu weryfikacji niezależnie na maszynie testowej, zobacz Ogólne wskazówki dotyczące uruchamiania skryptu weryfikacji.

3. Dołącz maszynę wirtualną do domeny przy użyciu konta domeny używanego w tworzeniu wystąpienia zarządzanego programu SCOM. Aby dołączyć maszynę wirtualną do domeny, wykonaj kroki opisane w sekcji Walidacja przyłączania do domeny.

4. Otwórz program PowerShell ISE w trybie administracyjnym i ustaw wartość Set-ExecutionPolicy jako Nieograniczone.

5. Uruchom następujące polecenia, aby zaimportować moduły:

   Add-WindowsFeature RSAT-AD-PowerShell -ErrorAction SilentlyContinue
   Add-WindowsFeature GPMC -ErrorAction SilentlyContinue
   

6. Aby sprawdzić, czy serwery zostały pomyślnie przyłączone do domeny, uruchom następujące polecenie:

   (Get-WmiObject -Class Win32_ComputerSystem).PartOfDomain
   

   Polecenie musi zwrócić wartość True.

7. Aby sprawdzić istnienie konta usługi gMSA, uruchom następujące polecenie:

   Get-ADServiceAccount -Identity <GmsaAccount>
   

8. Aby zweryfikować obecność kont użytkowników w lokalnej grupie Administratorzy, uruchom następujące polecenie:

   $domainJoinCredentials = New-Object pscredential -ArgumentList ("<username>", (ConvertTo-SecureString "password" -AsPlainText -Force)) 
   $addToAdminResult = Add-LocalGroupMember -Group "Administrators" -Member $userName, $gMSAccount -ErrorAction SilentlyContinue 
   $gpUpdateResult = gpupdate /force 
   $LocalAdmins = Get-LocalGroupMember -Group 'Administrators' | Select-Object -ExpandProperty Name
   

   Zastąp wartości <UserName> i <GmsaAccount> wartościami rzeczywistymi.

9. Aby określić szczegóły domeny i jednostki organizacyjnej, uruchom następujące polecenie:

   Get-ADOrganizationalUnit -Filter "DistinguishedName -like '$ouPathDN'" -Properties CanonicalName -Credential $domainUserCredentials
   

   Zastąp nazwę <OuPathDN> rzeczywistą ścieżką jednostki organizacyjnej.

10. Aby uzyskać raport obiektu zasad grupy (zasady grupy Object) z domeny i sprawdzić, czy zasady zastępowania w lokalnej grupie Administratorzy, uruchom następujące polecenie:

     [xml]$gpoReport = Get-GPOReport -All -ReportType Xml -Domain <domain name>
     foreach ($GPO in $gpoReport.GPOS.GPO) {
         # Check if the GPO links to the entire domain, or the input OU if provided
         if (($GPO.LinksTo.SOMPath -eq $domainName) -or ($GPO.LinksTo.SOMPath -eq $ouPathCN)) {
             # Check if there is a policy overriding the Local Users and Groups
             if ($GPO.Computer.ExtensionData.Extension.LocalUsersAndGroups.Group) {
             $GroupPolicy = $GPO.Computer.ExtensionData.Extension.LocalUsersAndGroups.Group | Select-Object @{Name='RemoveUsers';Expression={$_.Properties.deleteAllUsers}},@{Name='RemoveGroups';Expression={$_.Properties.deleteAllGroups}},@{Name='GroupName';Expression={$_.Properties.groupName}}
             # Check if the policy is acting on the BUILTIN\Administrators group, and whether it is removing other users or groups
             if (($GroupPolicy.groupName -eq "Administrators (built-in)") -and (($GroupPolicy.RemoveUsers -eq 1) -or ($GroupPolicy.RemoveGroups -eq 1))) {
              $overridingPolicyFound = $true
              $overridingPolicyName = $GPO.Name
                 }
             }
         }
     }
     if($overridingPolicyFound) {
      Write-Warning "Validation failed. A group policy in your domain (name: $overridingPolicyName) is overriding the local Administrators group on this machine. This will cause SCOM MI installation to fail. Please ensure that the OU for SCOM MI Management Servers is not affected by this policy"
     }
     else {
      Write-Output "Validation suceeded. No group policy found in your domain which overrides local Administrators. "
     }
    

Jeśli wykonanie skryptu wyświetli ostrzeżenie o błędzie Walidacja nie powiodło się, istnieją zasady (nazwa jak w komunikacie ostrzegawczym), które zastępują lokalną grupę administratorów. Zapoznaj się z administratorem usługi Active Directory i wyklucz serwer zarządzania programu System Center Operations Manager z zasad.