Felsöka vanliga fel vid validering av indataparametrar
Den här artikeln beskriver de fel som kan uppstå vid validering av indataparametrar och hur du löser dem.
Om du stöter på problem när du skapar lokala parametrar kan du använda det här skriptet för att få hjälp.
Det här skriptet är utformat för att felsöka och lösa problem som rör skapande av lokala parametrar. Få åtkomst till skriptet och använd dess funktioner för att åtgärda eventuella problem som kan uppstå när du skapar lokala parametrar.
Kör skriptet genom att följa dessa steg:
- Ladda ned skriptet och kör det med hjälpalternativet - help för att hämta parametrarna.
- Logga in med domänautentiseringsuppgifter till en domänansluten dator. Datorn måste finnas i en domän som används för SCOM Managed Instance. När du har loggat in kör du skriptet med de angivna parametrarna.
- Om verifieringen misslyckas vidtar du de korrigerande åtgärder som föreslås i skriptet och kör skriptet igen tills det har godkänt alla valideringar.
- När alla valideringar har slutförts använder du samma parametrar som används i skriptet för att skapa instanser.
Verifieringskontroller och information
Validering | Description |
---|---|
Valideringskontroller av Azure-indata | |
Konfigurera krav på testdatorn | 1. Installera AD PowerShell-modulen. 2. Installera grupprincip PowerShell-modulen. |
Internetanslutning | Kontrollerar om utgående Internetanslutning är tillgänglig på testservrarna. |
SQL MI-anslutning | Kontrollerar om den angivna SQL MI kan nås från nätverket där testservrarna skapas. |
DNS-serveranslutning | Kontrollerar om den angivna DNS-server-IP-adressen kan nås och matchas till en giltig DNS-server. |
Domänanslutning | Kontrollerar om det angivna domännamnet kan nås och matchas till en giltig domän. |
Validering av domänanslutning | Kontrollerar om domänanslutningen lyckas med angivna OU-sökvägar och domänautentiseringsuppgifter. |
Statisk IP- och LB FQDN-association | Kontrollerar om en DNS-post har skapats för den angivna statiska IP-adressen mot det angivna DNS-namnet. |
Verifiering av datorgrupp | Kontrollerar om den angivna datorgruppen hanteras av den angivna domänanvändaren och hanteraren kan uppdatera gruppmedlemskapet. |
gMSA-kontovalidering | Kontrollerar om den angivna gMSA: – är aktiverad. – Har dns-värdnamnet inställt på det angivna DNS-namnet på lastbalanserare. – Har en SAM-kontonamnslängd på högst 15 tecken. - Har rätt SPN inställd. Lösenordet kan hämtas av medlemmar i den angivna datorgruppen. |
Grupprincipvalidering | Kontrollerar om domänen (eller OU-sökvägen, som är värd för hanteringsservrarna) påverkas av någon grupprincip, vilket ändrar den lokala gruppen Administratörer. |
Rensning efter validering | Koppla från domänen. |
Allmänna riktlinjer för att köra valideringsskript
Under registreringsprocessen utförs en validering i valideringssteget/fliken. Om alla valideringar lyckas kan du gå vidare till det sista steget när du skapar SCOM Managed Instance. Men om verifieringarna misslyckas kan du inte fortsätta med skapandet.
I de fall där flera valideringar misslyckas är den bästa metoden att åtgärda alla problem samtidigt genom att manuellt köra ett valideringsskript på en testdator.
Viktigt
Skapa först en ny virtuell Windows Server-testdator (2022/2019) i samma undernät som valts för att skapa SCOM Managed Instance. Därefter kan både AD-administratören och nätverksadministratören använda den här virtuella datorn individuellt för att kontrollera effektiviteten av deras respektive ändringar. Den här metoden sparar avsevärt tid för kommunikation fram och tillbaka mellan AD-administratören och nätverksadministratören.
Följ dessa steg för att köra valideringsskriptet:
Generera en ny virtuell dator (VM) som körs på Windows Server 2022 eller 2019 i det valda undernätet för att skapa SCOM Managed Instance. Logga in på den virtuella datorn och konfigurera dns-servern så att den använder samma DNS-IP-adress som användes när den hanterade SCOM-instansen skapades. Se till exempel nedan:
Ladda ned valideringsskriptet till den virtuella testdatorn och extrahera. Den består av fem filer:
- ScomValidation.ps1
- RunValidationAsSCOMAdmin.ps1
- RunValidationAsActiveDirectoryAdmin.ps1
- RunValidationAsNetworkAdmin.ps1
- Readme.txt
Följ stegen som anges i Readme.txt-filen för att köra RunValidationAsSCOMAdmin.ps1. Se till att fylla i inställningsvärdet i RunValidationAsSCOMAdmin.ps1 med tillämpliga värden innan du kör det.
# $settings = @{ # Configuration = @{ # DomainName="test.com" # OuPath= "DC=test,DC=com" # DNSServerIP = "190.36.1.55" # UserName="test\testuser" # Password = "password" # SqlDatabaseInstance= "test-sqlmi-instance.023a29518976.database.windows.net" # ManagementServerGroupName= "ComputerMSG" # GmsaAccount= "test\testgMSA$" # DnsName= "lbdsnname.test.com" # LoadBalancerIP = "10.88.78.200" # } # } # Note : Before running this script, please make sure you have provided all the parameters in the settings $settings = @{ Configuration = @{ DomainName="<domain name>" OuPath= "<OU path>" DNSServerIP = "<DNS server IP>" UserName="<domain user name>" Password = "<domain user password>" SqlDatabaseInstance= "<SQL MI Host name>" ManagementServerGroupName= "<Computer Management server group name>" GmsaAccount= "<GMSA account>" DnsName= "<DNS name associated with the load balancer IP address>" LoadBalancerIP = "<Load balancer IP address>" } }
I allmänhet kör RunValidationAsSCOMAdmin.ps1 alla valideringar. Om du vill köra en specifik kontroll öppnar du ScomValidation.ps1 och kommenterar alla andra kontroller, som finns i slutet av filen. Du kan också lägga till brytpunkt i den specifika kontrollen för att felsöka kontrollen och bättre förstå problemen.
# Default mode is - SCOMAdmin, by default if mode is not passed then it will run all the validations
# adding all the checks to result set
try {
# Connectivity checks
$validationResults += Invoke-ValidateStorageConnectivity $settings
$results = ConvertTo-Json $validationResults -Compress
$validationResults += Invoke-ValidateSQLConnectivity $settings
$results = ConvertTo-Json $validationResults -Compress
$validationResults += Invoke-ValidateDnsIpAddress $settings
$results = ConvertTo-Json $validationResults -Compress
$validationResults += Invoke-ValidateDomainControllerConnectivity $settings
$results = ConvertTo-Json $validationResults -Compress
# Parameter validations
$validationResults += Invoke-ValidateDomainJoin $settings
$results = ConvertTo-Json $validationResults -Compress
$validationResults += Invoke-ValidateStaticIPAddressAndDnsname $settings
$results = ConvertTo-Json $validationResults -Compress
$validationResults += Invoke-ValidateComputerGroup $settings
$results = ConvertTo-Json $validationResults -Compress
$validationResults += Invoke-ValidategMSAAccount $settings
$results = ConvertTo-Json $validationResults -Compress
$validationResults += Invoke-ValidateLocalAdminOverideByGPO $settings
$results = ConvertTo-Json $validationResults -Compress
}
catch {
Write-Verbose -Verbose $_
}
Valideringsskriptet visar alla valideringskontroller och deras respektive fel, vilket hjälper dig att lösa valideringsproblemen. För snabb lösning kör du skriptet i PowerShell ISE med brytpunkt, vilket kan påskynda felsökningsprocessen.
Om alla kontroller lyckas återgår du till registreringssidan och startar om registreringsprocessen igen.
Internetanslutning
Problem: Utgående Internetanslutning finns inte på testservrarna
Orsaka: Inträffar på grund av en felaktig DNS-server-IP-adress eller en felaktig nätverkskonfiguration.
Lösning:
- Kontrollera DNS-serverns IP-adress och kontrollera att DNS-servern är igång.
- Kontrollera att det virtuella nätverket, som används för att skapa SCOM Managed Instance, har siktlinje för DNS-servern.
Problem: Det går inte att ansluta till lagringskontot för att ladda ned produktbitar för SCOM Managed Instance
Orsaka: Inträffar på grund av ett problem med internetanslutningen.
Upplösning: Kontrollera att det virtuella nätverk som används för att skapa SCOM Managed Instance har utgående Internetåtkomst genom att skapa en virtuell testdator i samma undernät som SCOM Managed Instance och testa utgående anslutning från den virtuella testdatorn.
Problem: Internetanslutningstestet misslyckades. Nödvändiga slutpunkter kan inte nås från det virtuella nätverket
Orsak: Inträffar på grund av en felaktig DNS-server-IP eller en felaktig nätverkskonfiguration.
Lösning:
Kontrollera DNS-serverns IP-adress och kontrollera att DNS-servern är igång.
Kontrollera att det virtuella nätverket, som används för att skapa SCOM Managed Instance, har siktlinje för DNS-servern.
Kontrollera att den hanterade SCOM-instansen har utgående Internetåtkomst och att NSG/brandväggen är korrekt konfigurerad för att tillåta åtkomst till de nödvändiga slutpunkterna enligt beskrivningen i brandväggskraven.
Allmänna felsökningssteg för Internetanslutning
Generera en ny virtuell dator (VM) som körs på Windows Server 2022 eller 2019 i det valda undernätet för att skapa SCOM Managed Instance. Logga in på den virtuella datorn och konfigurera dns-servern så att den använder samma DNS-IP-adress som användes när den hanterade SCOM-instansen skapades.
Du kan antingen följa de stegvisa anvisningarna nedan eller, om du är bekant med PowerShell, köra den specifika kontroll som anropas
Invoke-ValidateStorageConnectivity
i ScomValidation.ps1 skriptet. Mer information om hur du kör valideringsskriptet oberoende av varandra på testdatorn finns i Allmänna riktlinjer för att köra valideringsskriptet.Öppna PowerShell ISE i administratörsläge och ange Set-ExecutionPolicy som Obegränsad.
Kontrollera Internetanslutningen genom att köra följande kommando:
Test-NetConnection www.microsoft.com -Port 80
Det här kommandot verifierar anslutningen till www.microsoft.com på port 80. Om detta misslyckas indikerar det ett problem med utgående Internetanslutning.
Kontrollera DNS-inställningarna genom att köra följande kommando:
Get-DnsClientServerAddress
Det här kommandot hämtar DNS-serverns IP-adresser som konfigurerats på datorn. Kontrollera att DNS-inställningarna är korrekta och tillgängliga.
Kontrollera nätverkskonfigurationen genom att köra följande kommando:
Get-NetIPConfiguration
Det här kommandot visar information om nätverkskonfigurationen. Kontrollera att nätverksinställningarna är korrekta och matchar din nätverksmiljö.
SQL MI-anslutning
Problem: Utgående Internetanslutning finns inte på testservrarna
Orsaka: Inträffar på grund av en felaktig DNS-server-IP eller en felaktig nätverkskonfiguration.
Lösning:
- Kontrollera DNS-serverns IP-adress och kontrollera att DNS-servern är igång.
- Kontrollera att det virtuella nätverket, som används för att skapa SCOM Managed Instance, har siktlinje till DNS-servern.
Problem: Det gick inte att konfigurera DB-inloggning för MSI på SQL-hanterad instans
Orsak: Inträffar när MSI inte har konfigurerats korrekt för att komma åt SQL-hanterad instans.
Lösning: Kontrollera om MSI har konfigurerats som Microsoft Entra Admin på sql-hanterad instans. Se till att nödvändiga Microsoft Entra ID behörigheter tillhandahålls till SQL-hanterad instans för att MSI-autentisering ska fungera.
Problem: Det gick inte att ansluta till SQL MI från den här instansen
Orsaka: Inträffar eftersom det virtuella SQL MI-nätverket inte är delegerat eller inte är korrekt peerkopplat med det virtuella SCOM Managed Instance-nätverket.
Lösning:
- Kontrollera att SQL MI är korrekt konfigurerat.
- Kontrollera att det virtuella nätverket, som används för att skapa SCOM Managed Instance, har siktlinje för SQL MI, antingen genom att vara i samma virtuella nätverk eller via VNet-peering.
Allmänna felsökningssteg för SQL MI-anslutning
Generera en ny virtuell dator (VM) som körs på Windows Server 2022 eller 2019 i det valda undernätet för att skapa SCOM Managed Instance. Logga in på den virtuella datorn och konfigurera dns-servern så att den använder samma DNS-IP som användes när SCOM Managed Instance skapades.
Du kan antingen följa de stegvisa anvisningarna nedan, eller om du är bekant med PowerShell kör du den specifika kontrollen som anropas
Invoke-ValidateSQLConnectivity
i ScomValidation.ps1 skriptet. Mer information om hur du kör valideringsskriptet oberoende av varandra på testdatorn finns i Allmänna riktlinjer för att köra valideringsskriptet.Öppna PowerShell ISE i administratörsläge och ange Set-ExecutionPolicy som Obegränsad.
Kör följande kommando för att kontrollera den utgående internetanslutningen:
Test-NetConnection -ComputerName "www.microsoft.com" -Port 80
Det här kommandot verifierar den utgående Internetanslutningen genom att försöka upprätta en anslutning till www.microsoft.com på port 80. Om anslutningen misslyckas indikerar det ett potentiellt problem med Internetanslutningen.
Kontrollera DNS-inställningarna och nätverkskonfigurationen genom att kontrollera att DNS-serverns IP-adresser är korrekt konfigurerade och verifiera nätverkskonfigurationsinställningarna på den dator där verifieringen utförs.
Testa SQL MI-anslutningen genom att köra följande kommando:
Test-NetConnection -ComputerName $sqlMiName -Port 1433
Ersätt
$sqlMiName
med namnet på SQL MI-värdnamnet.Det här kommandot testar anslutningen till SQL MI-instansen. Om anslutningen lyckas anger det att SQL MI kan nås.
DNS Server-anslutning
Problem: DNS IP som tillhandahålls (<DNS IP>) är felaktigt eller så går det inte att nå DNS-servern
Upplösning: Kontrollera DNS-serverns IP-adress och kontrollera att DNS-servern är igång.
Allmän felsökning för DNS-serveranslutning
Generera en ny virtuell dator (VM) som körs på Windows Server 2022 eller 2019 i det valda undernätet för att skapa SCOM Managed Instance. Logga in på den virtuella datorn och konfigurera dns-servern så att den använder samma DNS-IP som användes när SCOM Managed Instance skapades.
Du kan antingen följa de stegvisa anvisningarna nedan, eller om du är bekant med PowerShell kör du den specifika kontrollen som anropas
Invoke-ValidateDnsIpAddress
i ScomValidation.ps1 skriptet. Mer information om hur du kör valideringsskriptet oberoende av varandra på testdatorn finns i Allmänna riktlinjer för att köra valideringsskriptet.Öppna PowerShell ISE i administratörsläge och ange Set-ExecutionPolicy som Obegränsad.
Kontrollera DNS-matchningen för den angivna IP-adressen genom att köra följande kommando:
Resolve-DnsName -Name $ipAddress -IssueAction SilentlyContinue
Ersätt
$ipAddress
med den IP-adress som du vill verifiera.Det här kommandot kontrollerar DNS-matchningen för den angivna IP-adressen. Om kommandot inte returnerar några resultat eller utlöser ett fel indikerar det ett potentiellt problem med DNS-matchning.
Kontrollera nätverksanslutningen till IP-adressen genom att köra följande kommando:
Test-NetConnection -ComputerName $ipAddress -Port 80
Ersätt
$ipAddress
med den IP-adress som du vill testa.Det här kommandot kontrollerar nätverksanslutningen till den angivna IP-adressen på port 80. Om anslutningen misslyckas tyder det på ett problem med nätverksanslutningen.
Domänanslutning
Problem: Domänkontrollanten för domännamn <> kan inte nås från det här nätverket, eller så är porten inte öppen på minst en domänkontrollant
Orsaka: Inträffar på grund av ett problem med den angivna DNS-server-IP-adressen eller nätverkskonfigurationen.
Lösning:
- Kontrollera DNS-serverns IP-adress och kontrollera att DNS-servern är igång.
- Kontrollera att domännamnsmatchningen dirigeras korrekt till den avsedda domänkontrollanten (DC) som konfigurerats för antingen Azure eller SCOM Managed Instance. Bekräfta att den här domänkontrollanten visas högst upp bland de lösta domänkontrollanterna. Om lösningen dirigeras till olika DC-servrar indikerar det ett problem med AD-domänmatchning.
- Kontrollera domännamnet och se till att domänkontrollantens konfiguration för Azure och SCOM Managed Instance är igång.
Anteckning
Portarna 9389, 389/636, 88, 3268/3269, 135, 445 ska vara öppna på domänkontrollanter som konfigurerats för Azure eller SCOM Managed Instance och alla tjänster på domänkontrollanten ska köras.
Allmänna felsökningssteg för domänanslutning
Generera en ny virtuell dator (VM) som körs på Windows Server 2022 eller 2019 i det valda undernätet för att skapa SCOM Managed Instance. Logga in på den virtuella datorn och konfigurera dns-servern så att den använder samma DNS-IP som användes när SCOM Managed Instance skapades.
Du kan antingen följa de stegvisa anvisningarna nedan, eller om du är bekant med PowerShell kör du den specifika kontrollen som anropas
Invoke-ValidateDomainControllerConnectivity
i ScomValidation.ps1 skriptet. Mer information om hur du kör valideringsskriptet oberoende av varandra på testdatorn finns i Allmänna riktlinjer för att köra valideringsskriptet.Öppna PowerShell ISE i administratörsläge och ange Set-ExecutionPolicy som Obegränsad.
Kontrollera domänkontrollantens nåbarhet genom att köra följande kommando:
Resolve-DnsName -Name $domainName
Ersätt
$domainName
med namnet på den domän som du vill testa.Kontrollera att domännamnsmatchningen dirigeras korrekt till den avsedda domänkontrollanten (DC) som konfigurerats för antingen Azure eller SCOM Managed Instance. Bekräfta att den här domänkontrollanten visas högst upp bland de lösta domänkontrollanterna. Om lösningen dirigeras till olika DC-servrar indikerar det ett problem med AD-domänmatchning.
Så här verifierar du DNS-serverinställningarna:
- Kontrollera att DNS-serverinställningarna på datorn som kör verifieringen är korrekt konfigurerade.
- Kontrollera om DNS-serverns IP-adresser är korrekta och tillgängliga.
Så här verifierar du nätverkskonfigurationen:
- Kontrollera nätverkskonfigurationsinställningarna på den dator där verifieringen utförs.
- Kontrollera att datorn är ansluten till rätt nätverk och har de nätverksinställningar som krävs för att kommunicera med domänkontrollanten.
Kör följande kommando för att testa den port som krävs på domänkontrollanten:
Test-NetConnection -ComputerName $domainName -Port $portToCheck
Ersätt
$domainName
med namnet på den domän som du vill testa och$portToCheck
med varje port från följande listnummer:- 389/636
- 88
- 3268/3269
- 135
- 445
Kör det angivna kommandot för alla ovanstående portar.
Det här kommandot kontrollerar om den angivna porten är öppen på den avsedda domänkontrollanten som har konfigurerats för att skapa Azure eller SCOM Managed Instance. Om kommandot visar en lyckad anslutning anger det att de nödvändiga portarna är öppna.
Validering av domänanslutning
Problem: Testhanteringsservrar kunde inte ansluta till domänen
Orsaka: Inträffar på grund av en felaktig OU-sökväg, felaktiga autentiseringsuppgifter eller ett problem i nätverksanslutningen.
Lösning:
- Kontrollera de autentiseringsuppgifter som skapats i nyckelvalvet. Användarnamn- och lösenordshemligheten måste återspegla rätt användarnamn och format för användarnamnets värde måste vara domän\användarnamn och lösenord, som har behörighet att ansluta en dator till domänen. Som standard kan användarkonton bara lägga till upp till 10 datorer i domänen. Information om hur du konfigurerar finns i Standardgräns för antal om arbetsstationer en användare kan ansluta till domänen.
- Kontrollera att OU-sökvägen är korrekt och blockerar inte nya datorer från att ansluta till domänen.
Allmänna felsökningssteg för validering av domänanslutning
Generera en ny virtuell dator (VM) som körs på Windows Server 2022 eller 2019 i det valda undernätet för att skapa SCOM Managed Instance. Logga in på den virtuella datorn och konfigurera dns-servern så att den använder samma DNS-IP-adress som användes när den hanterade SCOM-instansen skapades.
Du kan antingen följa de stegvisa anvisningarna nedan eller, om du är bekant med PowerShell, köra den specifika kontroll som anropas
Invoke-ValidateDomainJoin
i ScomValidation.ps1 skriptet. Mer information om hur du kör valideringsskriptet oberoende av varandra på testdatorn finns i Allmänna riktlinjer för att köra valideringsskriptet.Öppna PowerShell ISE i administratörsläge och ange Set-ExecutionPolicy som Obegränsad.
Anslut den virtuella datorn till en domän med det domänkonto som används för att skapa SCOM Managed Instance. Kör följande kommando för att ansluta domänen till en dator med autentiseringsuppgifter:
$domainName = "<domainname>" $domainJoinCredentials = New-Object pscredential -ArgumentList ("<username>", (ConvertTo-SecureString "password" -AsPlainText -Force)) $ouPath = "<OU path>" if (![String]::IsNullOrWhiteSpace($ouPath)) { $domainJoinResult = Add-Computer -DomainName $domainName -Credential $domainJoinCredentials -OUPath $ouPath -Force -WarningAction SilentlyContinue -ErrorAction SilentlyContinue } else { $domainJoinResult = Add-Computer -DomainName $domainName -Credential $domainJoinCredentials -Force -WarningAction SilentlyContinue -ErrorAction SilentlyContinue }
Ersätt användarnamnet, lösenordet $domainName $ouPath med rätt värden.
När du har kört kommandot ovan kör du följande kommando för att kontrollera om datorn har anslutits till domänen:
Get-WmiObject -Class Win32_ComputerSystem | Select-Object -ExpandProperty PartOfDomain
Statisk IP- och LB FQDN-association
Problem: Det gick inte att köra tester eftersom servrarna inte kunde ansluta till domänen
Upplösning: Se till att datorerna kan ansluta till domänen. Följ felsökningsstegen i avsnittet Domänanslutningsverifiering.
Problem: DNS-namnets DNS-namn <> kunde inte lösas
Upplösning: Det angivna DNS-namnet finns inte i DNS-posterna. Kontrollera DNS-namnet och se till att det är korrekt kopplat till den statiska IP-adress som angetts.
Problem: Den angivna statiska IP-adressen <> och Load Balancer DNS-namn><matchar inte
Upplösning: Kontrollera DNS-posterna och ange rätt DNS-namn/statisk IP-kombination. Mer information finns i Skapa en statisk IP-adress och konfigurera DNS-namnet.
Allmänna felsökningssteg för statisk IP- och LB FQDN-association
Generera en ny virtuell dator (VM) som körs på Windows Server 2022 eller 2019 i det valda undernätet för att skapa SCOM Managed Instance. Logga in på den virtuella datorn och konfigurera dns-servern så att den använder samma DNS-IP-adress som användes när den hanterade SCOM-instansen skapades.
Du kan antingen följa de stegvisa anvisningarna nedan eller, om du är bekant med PowerShell, köra den specifika kontroll som anropas
Invoke-ValidateStaticIPAddressAndDnsname
i ScomValidation.ps1 skriptet. Mer information om hur du kör valideringsskriptet oberoende av varandra på testdatorn finns i Allmänna riktlinjer för att köra valideringsskriptet.Öppna PowerShell ISE i administratörsläge och ange Set-ExecutionPolicy som Obegränsad.
Anslut den virtuella datorn till en domän med det domänkonto som används för att skapa SCOM Managed Instance. Om du vill ansluta den virtuella datorn till domänen följer du stegen i avsnittet Domänanslutningsverifiering.
Hämta IP-adress och tillhörande DNS-namn och kör följande kommandon för att se om de matchar. Matcha DNS-namnet och hämta den faktiska IP-adressen:
$DNSRecord = Resolve-DnsName -Name $DNSName $ActualIP = $DNSRecord.IPAddress
Om DNS-namnet inte kan matchas kontrollerar du att DNS-namnet är giltigt och associerat med den faktiska IP-adressen.
Verifiering av datorgrupp
Problem: Testet kunde inte köras eftersom servrarna inte kunde ansluta till domänen
Upplösning: Se till att datorerna kan ansluta till domänen. Följ felsökningsstegen som anges i avsnittet Domänanslutningsverifiering.
Problem: Det gick inte att hitta datorgruppen med namnet <datorgruppnamn> i domänen
Upplösning: Kontrollera förekomsten av gruppen och kontrollera namnet eller skapa ett nytt om det inte redan har skapats.
Problem: Datorgruppens <gruppnamn> för indatadatorn hanteras inte av användarnamnet för användardomänen <>
Upplösning: Gå till gruppegenskaperna och ange den här användaren som chef. Mer information finns i Skapa och konfigurera en datorgrupp.
Problem: Administratörsdomänens <användarnamn> för datorgruppens <gruppnamn> för indata har inte de behörigheter som krävs för att hantera gruppmedlemskap
Upplösning: Gå till gruppegenskaperna och markera kryssrutan Hantera kan uppdatera medlemskapslistan . Mer information finns i Skapa och konfigurera en datorgrupp.
Allmänna felsökningssteg för verifiering av datorgrupper
Generera en ny virtuell dator (VM) som körs på Windows Server 2022 eller 2019 i det valda undernätet för att skapa SCOM Managed Instance. Logga in på den virtuella datorn och konfigurera dns-servern så att den använder samma DNS-IP-adress som användes när den hanterade SCOM-instansen skapades.
Du kan antingen följa de stegvisa anvisningarna nedan eller, om du är bekant med PowerShell, köra den specifika kontroll som anropas
Invoke-ValidateComputerGroup
i ScomValidation.ps1 skriptet. Mer information om hur du kör valideringsskriptet oberoende av varandra på testdatorn finns i Allmänna riktlinjer för att köra valideringsskriptet.Anslut den virtuella datorn till en domän med det domänkonto som används för att skapa SCOM Managed Instance. Om du vill ansluta den virtuella datorn till domänen följer du stegen i avsnittet Domänanslutningsverifiering.
Öppna PowerShell ISE i administratörsläge och ange Set-ExecutionPolicy som Obegränsad.
Kör följande kommando för att importera moduler:
Add-WindowsFeature RSAT-AD-PowerShell -ErrorAction SilentlyContinue Add-WindowsFeature GPMC -ErrorAction SilentlyContinue
Kontrollera om den virtuella datorn är ansluten till domänen genom att köra följande kommando:
Get-WmiObject -Class Win32_ComputerSystem | Select-Object -ExpandProperty PartOfDomain
Kontrollera domänens existens och om den aktuella datorn redan är ansluten till domänen genom att köra följande kommando:
$domainJoinCredentials = New-Object pscredential -ArgumentList ("<username>", (ConvertTo-SecureString "password" -AsPlainText -Force)) $Domain = Get-ADDomain -Current LocalComputer -Credential $domainUserCredentials
Ersätt
$username
,password
med tillämpliga värden.Kontrollera att användaren finns i domänen genom att köra följande kommando:
$DomainUser = Get-ADUser -Identity $username -Credential $domainUserCredentials
Ersätt
$username
,$domainUserCredentials
med tillämpliga värdenKontrollera att datorgruppen finns i domänen genom att köra följande kommando:
$ComputerGroup = Get-ADGroup -Identity $computerGroupName -Properties ManagedBy,DistinguishedName -Credential $domainUserCredentials
Ersätt
$computerGroupName
,$domainUserCredentials
med tillämpliga värden.Om användar- och datorgruppen finns kontrollerar du om användaren är ansvarig för datorgruppen.
Import-Module ActiveDirectory $DomainDN = $Domain.DistinguishedName $GroupDN = $ComputerGroup.DistinguishedName $RightsGuid = [GUID](Get-ItemProperty "AD:\CN=Self-Membership,CN=Extended-Rights,CN=Configuration,$DomainDN" -Name rightsGuid -Credential $domainUserCredentials | Select-Object -ExpandProperty rightsGuid) # Run Get ACL under the give credentials $job = Start-Job -ScriptBlock { param ( [Parameter(Mandatory = $true)] [string] $GroupDN, [Parameter(Mandatory = $true)] [GUID] $RightsGuid ) Import-Module ActiveDirectory $AclRule = (Get-Acl -Path "AD:\$GroupDN").GetAccessRules($true,$true,[System.Security.Principal.SecurityIdentifier]) | Where-Object {($_.ObjectType -eq $RightsGuid) -and ($_.ActiveDirectoryRights -like '*WriteProperty*')} return $AclRule } -ArgumentList $GroupDN, $RightsGuid -Credential $domainUserCredentials $timeoutSeconds = 20 $jobResult = Wait-Job $job -Timeout $timeoutSeconds # Job did not complete within the timeout if ($null -eq $jobResult) { Write-Host "Checking permissions, timeout after 10 seconds." Remove-Job $job -Force } else { # Job completed within the timeout $AclRule = Receive-Job $job Remove-Job $job -Force } $managerCanUpdateMembership = $false if (($null -ne $AclRule) -and ($AclRule.AccessControlType -eq 'Allow') -and ($AclRule.IdentityReference -eq $DomainUser.SID)) { $managerCanUpdateMembership = $true
Om
managerCanUpdateMembership
är Sant har domänanvändaren behörighet att uppdatera medlemskap i datorgruppen. OmmanagerCanUpdateMembership
är Falskt ger du datorgruppen behörighet att hantera domänanvändaren.
gMSA-kontovalidering
Problem: Testet körs inte eftersom servrarna inte kunde ansluta till domänen
Upplösning: Se till att datorerna kan ansluta till domänen. Följ felsökningsstegen som anges i avsnittet Domänanslutningsverifiering.
Problem: Datorgruppen med namnet <datorgruppsnamn> finns inte i domänen. Medlemmarna i den här gruppen måste kunna hämta gMSA-lösenordet
Upplösning: Kontrollera förekomsten av gruppen och kontrollera det angivna namnet.
Problem: gMSA med namndomänen <gMSA> hittades inte i domänen
Upplösning: Kontrollera förekomsten av gMSA-kontot och kontrollera namnet eller skapa ett nytt om det inte redan har skapats.
Problem: gMSA-domänen <gMSA> är inte aktiverad
Upplösning: Aktivera den med följande kommando:
Set-ADServiceAccount -Identity <domain gMSA> -Enabled $true
Problem: gMSA-domän <gMSA> måste ha dns-värdnamnet inställt på <DNS-namn>
Upplösning: Egenskapen har inte angetts korrekt i DNSHostName
gMSA. Ange egenskapen DNSHostName
med följande kommando:
Set-ADServiceAccount -Identity <domain gMSA> -DNSHostName <DNS Name>
Problem: Sam-kontonamnet för gMSA-domänen <gMSA> överskrider gränsen på 15 tecken
Upplösning:SamAccountName
Ange med följande kommando:
Set-ADServiceAccount -Identity <domain gMSA> -SamAccountName <shortname$>
Problem: Datorgruppens <gruppnamn> måste anges som PrincipalsAllowedToRetrieveManagedPassword för gMSA-domänen <gMSA>
Upplösning: gMSA har PrincipalsAllowedToRetrieveManagedPassword
inte angetts korrekt. PrincipalsAllowedToRetrieveManagedPassword
Ange med följande kommando:
Set-ADServiceAccount -Identity <domain gMSA> - PrincipalsAllowedToRetrieveManagedPassword <computer group name>
Problem: SPN:erna har inte angetts korrekt för gMSA-domänens <gMSA>
Upplösning: gMSA har inte rätt namn på tjänstens huvudnamn angivna. Ange tjänstens huvudnamn med följande kommando:
Set-ADServiceAccount -Identity <domain gMSA> -ServicePrincipalNames <set of SPNs>
Allmänna felsökningssteg för gMSA-kontovalidering
Generera en ny virtuell dator (VM) som körs på Windows Server 2022 eller 2019 i det valda undernätet för att skapa SCOM Managed Instance. Logga in på den virtuella datorn och konfigurera dns-servern så att den använder samma DNS-IP-adress som användes när den hanterade SCOM-instansen skapades.
Du kan antingen följa de stegvisa anvisningarna nedan eller, om du är bekant med PowerShell, köra den specifika kontroll som anropas
Invoke-ValidategMSAAccount
i ScomValidation.ps1 skriptet. Mer information om hur du kör valideringsskriptet oberoende av varandra på testdatorn finns i Allmänna riktlinjer för att köra valideringsskriptet.Anslut den virtuella datorn till en domän med det domänkonto som används för att skapa SCOM Managed Instance. Om du vill ansluta den virtuella datorn till domänen följer du stegen i avsnittet Domänanslutningsverifiering.
Öppna PowerShell ISE i administratörsläge och ange Set-ExecutionPolicy som Obegränsad.
Kör följande kommando för att importera moduler:
Add-WindowsFeature RSAT-AD-PowerShell -ErrorAction SilentlyContinue Add-WindowsFeature GPMC -ErrorAction SilentlyContinue
Kontrollera att servrarna har anslutits till domänen genom att köra följande kommando:
(Get-WmiObject -Class Win32_ComputerSystem).PartOfDomain
Kontrollera att datorgruppen finns genom att köra följande kommando:
$Credentials = New-Object pscredential -ArgumentList ("<username>", (ConvertTo-SecureString "password" -AsPlainText -Force)) $adGroup = Get-ADGroup -Identity $computerGroupName -Properties ManagedBy,DistinguishedName -Credential $Credentials
Ersätt användarnamn, lösenord och computerGroupName med tillämpliga värden.
Kör följande kommando för att kontrollera förekomsten av gMSA-kontot:
$adServiceAccount = Get-ADServiceAccount -Identity gMSAAccountName -Properties DNSHostName,Enabled,PrincipalsAllowedToRetrieveManagedPassword,SamAccountName,ServicePrincipalNames -Credential $Credentials
Kontrollera om gMSA-kontot är aktiverat för att verifiera egenskaperna för gMSA-kontot:
(Get-ADServiceAccount -Identity <GmsaAccount>).Enabled
Om kommandot returnerar False aktiverar du kontot i domänen.
Kontrollera att DNS-värdnamnet för gMSA-kontot matchar det angivna DNS-namnet (LB DNS-namn) genom att köra följande kommandon:
(Get-ADServiceAccount -Identity <GmsaAccount>).DNSHostName
Om kommandot inte returnerar det förväntade DNS-namnet uppdaterar du DNS-värdnamnet för gMsaAccount till LB DNS-namnet.
Kontrollera att Sam-kontonamnet för gMSA-kontot inte överskrider gränsen på 15 tecken:
(Get-ADServiceAccount -Identity <GmsaAccount>).SamAccountName.Length
Kör följande kommandon för att verifiera
PrincipalsAllowedToRetrieveManagedPassword
egenskapen:Kontrollera om den angivna datorgruppen har angetts som "PrincipalsAllowedToRetrieveManagedPassword" för gMSA-kontot:
(Get-ADServiceAccount -Identity <GmsaAccount>).PrincipalsAllowedToRetrieveManagedPassword -contains (Get-ADGroup -Identity <ComputerGroupName>).DistinguishedName
Ersätt
gMSAAccount
ochComputerGroupName
med tillämpliga värden.Kör följande kommando för att verifiera tjänstens huvudnamn (SPN) för gMSA-kontot:
$CorrectSPNs = @("MSOMSdkSvc/$dnsHostName", "MSOMSdkSvc/$dnsName", "MSOMHSvc/$dnsHostName", "MSOMHSvc/$dnsName") (Get-ADServiceAccount -Identity <GmsaAccount>).ServicePrincipalNames
Kontrollera om resultaten har rätt SPN. Ersätt
$dnsName
med LB DNS-namnet som angavs när SCOM Managed Instance skapades. Ersätt$dnsHostName
med LB DNS-kortnamn. Exempel: MSOMHSvc/ContosoLB.domain.com, MSOMHSvc/ContosoLB, MSOMSdkSvc/ContosoLB.domain.com och MSOMSdkSvc/ContosoLB är tjänstens huvudnamn.
Grupprincipvalidering
Viktigt
Du kan åtgärda grupprincipobjektsprinciper genom att samarbeta med active directory-administratören och undanta System Center Operations Manager från nedanstående principer:
- Grupprincipobjekt som ändrar eller åsidosätter lokala administratörsgruppkonfigurationer.
- Grupprincipobjekt som inaktiverar nätverksautentisering.
- Utvärdera grupprincipobjekt som hindrar fjärrinloggning för lokala administratörer.
Problem: Det gick inte att köra det här testet eftersom servrarna inte kunde ansluta till domänen
Upplösning: Kontrollera att datorerna ansluter till domänen. Följ felsökningsstegen i avsnittet Domänanslutningsverifiering.
Problem: gMSA med namndomänen <gMSA> kunde inte hittas i din domän. Det här kontot måste vara en lokal administratör på servern
Upplösning: Kontrollera att kontot finns och se till att gMSA och domänanvändaren ingår i den lokala administratörsgruppen.
Problem: Kontodomänens <användarnamn> och <domän gMSA> kunde inte läggas till i den lokala gruppen Administratörer på testhanteringsservrarna eller sparades inte i gruppen efter grupprincipuppdateringen
Upplösning: Kontrollera att det angivna domänanvändarnamnet och gMSA-indata är korrekta, inklusive det fullständiga namnet (domän\konto). Kontrollera också om det finns några grupprinciper på testdatorn som åsidosätter den lokala gruppen Administratörer på grund av principer som skapats på organisationsenhets- eller domännivå. gMSA och domänanvändare måste vara en del av den lokala administratörsgruppen för att SCOM Managed Instance ska fungera. SCOM Managed Instance-datorer måste undantas från alla principer som översidosätter den lokala administratörsgruppen (arbeta med AD-administratör).
Problem: SCOM Managed Instance misslyckades
Orsaka: En grupprincip i domänen (namn: <grupprincipnamn>) åsidosätter den lokala gruppen Administratörer på testhanteringsservrar, antingen på den organisationsenhet som innehåller servrarna eller domänens rot.
Upplösning: Kontrollera att organisationsenheten för SCOM Managed Instance Management Servers (<OU Path>) inte påverkas av att inga principer åsidosätter gruppen.
Allmänna felsökningssteg för grupprincipvalidering
Generera en ny virtuell dator (VM) som körs på Windows Server 2022 eller 2019 i det valda undernätet för att skapa SCOM Managed Instance. Logga in på den virtuella datorn och konfigurera dns-servern så att den använder samma DNS-IP som användes när SCOM Managed Instance skapades.
Du kan antingen följa de stegvisa anvisningarna nedan, eller om du är bekant med PowerShell kör du den specifika kontrollen som anropas
Invoke-ValidateLocalAdminOverideByGPO
i ScomValidation.ps1 skriptet. Mer information om hur du kör valideringsskriptet oberoende av varandra på testdatorn finns i Allmänna riktlinjer för att köra valideringsskriptet.Anslut den virtuella datorn till en domän med det domänkonto som används för att skapa SCOM Managed Instance. Följ stegen i valideringsavsnittet Domänanslutning för att ansluta den virtuella datorn till domänen.
Öppna PowerShell ISE i administratörsläge och ange Set-ExecutionPolicy som Obegränsad.
Kör följande kommandon för att importera moduler:
Add-WindowsFeature RSAT-AD-PowerShell -ErrorAction SilentlyContinue Add-WindowsFeature GPMC -ErrorAction SilentlyContinue
Kontrollera om servrarna har anslutit till domänen genom att köra följande kommando:
(Get-WmiObject -Class Win32_ComputerSystem).PartOfDomain
Kommandot måste returnera True.
Kontrollera förekomsten av gMSA-kontot genom att köra följande kommando:
Get-ADServiceAccount -Identity <GmsaAccount>
Kör följande kommando för att verifiera förekomsten av användarkonton i den lokala gruppen Administratörer:
$domainJoinCredentials = New-Object pscredential -ArgumentList ("<username>", (ConvertTo-SecureString "password" -AsPlainText -Force)) $addToAdminResult = Add-LocalGroupMember -Group "Administrators" -Member $userName, $gMSAccount -ErrorAction SilentlyContinue $gpUpdateResult = gpupdate /force $LocalAdmins = Get-LocalGroupMember -Group 'Administrators' | Select-Object -ExpandProperty Name
<UserName>
Ersätt och<GmsaAccount>
med de faktiska värdena.Kör följande kommando för att fastställa information om domän- och organisationsenhet (OU):
Get-ADOrganizationalUnit -Filter "DistinguishedName -like '$ouPathDN'" -Properties CanonicalName -Credential $domainUserCredentials
<Ersätt OuPathDN> med den faktiska OU-sökvägen.
Kör följande kommando för att hämta GPO-rapporten (grupprincip Object) från domänen och söka efter överordnade principer i den lokala gruppen Administratörer:
[xml]$gpoReport = Get-GPOReport -All -ReportType Xml -Domain <domain name> foreach ($GPO in $gpoReport.GPOS.GPO) { # Check if the GPO links to the entire domain, or the input OU if provided if (($GPO.LinksTo.SOMPath -eq $domainName) -or ($GPO.LinksTo.SOMPath -eq $ouPathCN)) { # Check if there is a policy overriding the Local Users and Groups if ($GPO.Computer.ExtensionData.Extension.LocalUsersAndGroups.Group) { $GroupPolicy = $GPO.Computer.ExtensionData.Extension.LocalUsersAndGroups.Group | Select-Object @{Name='RemoveUsers';Expression={$_.Properties.deleteAllUsers}},@{Name='RemoveGroups';Expression={$_.Properties.deleteAllGroups}},@{Name='GroupName';Expression={$_.Properties.groupName}} # Check if the policy is acting on the BUILTIN\Administrators group, and whether it is removing other users or groups if (($GroupPolicy.groupName -eq "Administrators (built-in)") -and (($GroupPolicy.RemoveUsers -eq 1) -or ($GroupPolicy.RemoveGroups -eq 1))) { $overridingPolicyFound = $true $overridingPolicyName = $GPO.Name } } } } if($overridingPolicyFound) { Write-Warning "Validation failed. A group policy in your domain (name: $overridingPolicyName) is overriding the local Administrators group on this machine. This will cause SCOM MI installation to fail. Please ensure that the OU for SCOM MI Management Servers is not affected by this policy" } else { Write-Output "Validation suceeded. No group policy found in your domain which overrides local Administrators. " }
Om skriptkörningen ger en varning som Validering misslyckades finns det en princip (namn som i varningsmeddelandet) som åsidosätter den lokala administratörsgruppen. Kontakta Active Directory-administratören och undanta System Center Operations Manager-hanteringsservern från principen.
Feedback
https://aka.ms/ContentUserFeedback.
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i:Skicka och visa feedback för