Felsöka vanliga fel vid validering av indataparametrar

Den här artikeln beskriver de fel som kan uppstå vid validering av indataparametrar och hur du löser dem.

Om du stöter på problem när du skapar lokala parametrar kan du använda det här skriptet för att få hjälp.

Det här skriptet är utformat för att felsöka och lösa problem som rör skapande av lokala parametrar. Få åtkomst till skriptet och använd dess funktioner för att åtgärda eventuella problem som kan uppstå när du skapar lokala parametrar.

Kör skriptet genom att följa dessa steg:

1. Ladda ned skriptet och kör det med hjälpalternativet - help för att hämta parametrarna.
2. Logga in med domänautentiseringsuppgifter till en domänansluten dator. Datorn måste finnas i en domän som används för SCOM Managed Instance. När du har loggat in kör du skriptet med de angivna parametrarna.
3. Om verifieringen misslyckas vidtar du de korrigerande åtgärder som föreslås i skriptet och kör skriptet igen tills det har godkänt alla valideringar.
4. När alla valideringar har slutförts använder du samma parametrar som används i skriptet för att skapa instanser.

Verifieringskontroller och information

Validering	Description
Valideringskontroller av Azure-indata
Konfigurera krav på testdatorn	1. Installera AD PowerShell-modulen. 2. Installera grupprincip PowerShell-modulen.
Internetanslutning	Kontrollerar om utgående Internetanslutning är tillgänglig på testservrarna.
SQL MI-anslutning	Kontrollerar om den angivna SQL MI kan nås från nätverket där testservrarna skapas.
DNS-serveranslutning	Kontrollerar om den angivna DNS-server-IP-adressen kan nås och matchas till en giltig DNS-server.
Domänanslutning	Kontrollerar om det angivna domännamnet kan nås och matchas till en giltig domän.
Validering av domänanslutning	Kontrollerar om domänanslutningen lyckas med angivna OU-sökvägar och domänautentiseringsuppgifter.
Statisk IP- och LB FQDN-association	Kontrollerar om en DNS-post har skapats för den angivna statiska IP-adressen mot det angivna DNS-namnet.
Verifiering av datorgrupp	Kontrollerar om den angivna datorgruppen hanteras av den angivna domänanvändaren och hanteraren kan uppdatera gruppmedlemskapet.
gMSA-kontovalidering	Kontrollerar om den angivna gMSA: – är aktiverad. – Har dns-värdnamnet inställt på det angivna DNS-namnet på lastbalanserare. – Har en SAM-kontonamnslängd på högst 15 tecken. - Har rätt SPN inställd. Lösenordet kan hämtas av medlemmar i den angivna datorgruppen.
Grupprincipvalidering	Kontrollerar om domänen (eller OU-sökvägen, som är värd för hanteringsservrarna) påverkas av någon grupprincip, vilket ändrar den lokala gruppen Administratörer.
Rensning efter validering	Koppla från domänen.

Allmänna riktlinjer för att köra valideringsskript

Under registreringsprocessen utförs en validering i valideringssteget/fliken. Om alla valideringar lyckas kan du gå vidare till det sista steget när du skapar SCOM Managed Instance. Men om verifieringarna misslyckas kan du inte fortsätta med skapandet.

I de fall där flera valideringar misslyckas är den bästa metoden att åtgärda alla problem samtidigt genom att manuellt köra ett valideringsskript på en testdator.

Viktigt

Skapa först en ny virtuell Windows Server-testdator (2022/2019) i samma undernät som valts för att skapa SCOM Managed Instance. Därefter kan både AD-administratören och nätverksadministratören använda den här virtuella datorn individuellt för att kontrollera effektiviteten av deras respektive ändringar. Den här metoden sparar avsevärt tid för kommunikation fram och tillbaka mellan AD-administratören och nätverksadministratören.

Följ dessa steg för att köra valideringsskriptet:

1. Generera en ny virtuell dator (VM) som körs på Windows Server 2022 eller 2019 i det valda undernätet för att skapa SCOM Managed Instance. Logga in på den virtuella datorn och konfigurera dns-servern så att den använder samma DNS-IP-adress som användes när den hanterade SCOM-instansen skapades. Se till exempel nedan:

   

2. Ladda ned valideringsskriptet till den virtuella testdatorn och extrahera. Den består av fem filer:

   • ScomValidation.ps1
   • RunValidationAsSCOMAdmin.ps1
   • RunValidationAsActiveDirectoryAdmin.ps1
   • RunValidationAsNetworkAdmin.ps1
   • Readme.txt

3. Följ stegen som anges i Readme.txt-filen för att köra RunValidationAsSCOMAdmin.ps1. Se till att fylla i inställningsvärdet i RunValidationAsSCOMAdmin.ps1 med tillämpliga värden innan du kör det.

   # $settings = @{
   #   Configuration = @{
   #         DomainName="test.com"                 
   #         OuPath= "DC=test,DC=com"           
   #         DNSServerIP = "190.36.1.55"           
   #         UserName="test\testuser"              
   #         Password = "password"                 
   #         SqlDatabaseInstance= "test-sqlmi-instance.023a29518976.database.windows.net" 
   #         ManagementServerGroupName= "ComputerMSG"      
   #         GmsaAccount= "test\testgMSA$"
   #         DnsName= "lbdsnname.test.com"
   #         LoadBalancerIP = "10.88.78.200"
   #     }
   # }
   # Note : Before running this script, please make sure you have provided all the parameters in the settings
   $settings = @{
   Configuration = @{
   DomainName="<domain name>"
   OuPath= "<OU path>"
   DNSServerIP = "<DNS server IP>"
   UserName="<domain user name>"
   Password = "<domain user password>"
   SqlDatabaseInstance= "<SQL MI Host name>"
   ManagementServerGroupName= "<Computer Management server group name>"
   GmsaAccount= "<GMSA account>"
   DnsName= "<DNS name associated with the load balancer IP address>"
   LoadBalancerIP = "<Load balancer IP address>"
   }
   }
   

4. I allmänhet kör RunValidationAsSCOMAdmin.ps1 alla valideringar. Om du vill köra en specifik kontroll öppnar du ScomValidation.ps1 och kommenterar alla andra kontroller, som finns i slutet av filen. Du kan också lägga till brytpunkt i den specifika kontrollen för att felsöka kontrollen och bättre förstå problemen.

        # Default mode is - SCOMAdmin, by default if mode is not passed then it will run all the validations  

    # adding all the checks to result set 

    try { 

        # Connectivity checks 

        $validationResults += Invoke-ValidateStorageConnectivity $settings 

        $results = ConvertTo-Json $validationResults -Compress 

         

        $validationResults += Invoke-ValidateSQLConnectivity $settings 

        $results = ConvertTo-Json $validationResults -Compress 

 

        $validationResults += Invoke-ValidateDnsIpAddress $settings 

        $results = ConvertTo-Json $validationResults -Compress 

 

        $validationResults += Invoke-ValidateDomainControllerConnectivity $settings 

        $results = ConvertTo-Json $validationResults -Compress 

 

        # Parameter validations 

        $validationResults += Invoke-ValidateDomainJoin $settings 

        $results = ConvertTo-Json $validationResults -Compress 

 

        $validationResults += Invoke-ValidateStaticIPAddressAndDnsname $settings 

        $results = ConvertTo-Json $validationResults -Compress 

 

        $validationResults += Invoke-ValidateComputerGroup $settings 

        $results = ConvertTo-Json $validationResults -Compress 

 

        $validationResults += Invoke-ValidategMSAAccount $settings 

        $results = ConvertTo-Json $validationResults -Compress 

             

        $validationResults += Invoke-ValidateLocalAdminOverideByGPO $settings 

        $results = ConvertTo-Json $validationResults -Compress 

    } 

    catch { 

        Write-Verbose -Verbose  $_ 

    } 

5. Valideringsskriptet visar alla valideringskontroller och deras respektive fel, vilket hjälper dig att lösa valideringsproblemen. För snabb lösning kör du skriptet i PowerShell ISE med brytpunkt, vilket kan påskynda felsökningsprocessen.

   Om alla kontroller lyckas återgår du till registreringssidan och startar om registreringsprocessen igen.

Internetanslutning

Problem: Utgående Internetanslutning finns inte på testservrarna

Orsaka: Inträffar på grund av en felaktig DNS-server-IP-adress eller en felaktig nätverkskonfiguration.

Lösning:

1. Kontrollera DNS-serverns IP-adress och kontrollera att DNS-servern är igång.
2. Kontrollera att det virtuella nätverket, som används för att skapa SCOM Managed Instance, har siktlinje för DNS-servern.

Problem: Det går inte att ansluta till lagringskontot för att ladda ned produktbitar för SCOM Managed Instance

Orsaka: Inträffar på grund av ett problem med internetanslutningen.

Upplösning: Kontrollera att det virtuella nätverk som används för att skapa SCOM Managed Instance har utgående Internetåtkomst genom att skapa en virtuell testdator i samma undernät som SCOM Managed Instance och testa utgående anslutning från den virtuella testdatorn.

Problem: Internetanslutningstestet misslyckades. Nödvändiga slutpunkter kan inte nås från det virtuella nätverket

Orsak: Inträffar på grund av en felaktig DNS-server-IP eller en felaktig nätverkskonfiguration.

Lösning:

• Kontrollera DNS-serverns IP-adress och kontrollera att DNS-servern är igång.

• Kontrollera att det virtuella nätverket, som används för att skapa SCOM Managed Instance, har siktlinje för DNS-servern.

• Kontrollera att den hanterade SCOM-instansen har utgående Internetåtkomst och att NSG/brandväggen är korrekt konfigurerad för att tillåta åtkomst till de nödvändiga slutpunkterna enligt beskrivningen i brandväggskraven.

Allmänna felsökningssteg för Internetanslutning

1. Generera en ny virtuell dator (VM) som körs på Windows Server 2022 eller 2019 i det valda undernätet för att skapa SCOM Managed Instance. Logga in på den virtuella datorn och konfigurera dns-servern så att den använder samma DNS-IP-adress som användes när den hanterade SCOM-instansen skapades.

2. Du kan antingen följa de stegvisa anvisningarna nedan eller, om du är bekant med PowerShell, köra den specifika kontroll som anropas Invoke-ValidateStorageConnectivity i ScomValidation.ps1 skriptet. Mer information om hur du kör valideringsskriptet oberoende av varandra på testdatorn finns i Allmänna riktlinjer för att köra valideringsskriptet.

3. Öppna PowerShell ISE i administratörsläge och ange Set-ExecutionPolicy som Obegränsad.

4. Kontrollera Internetanslutningen genom att köra följande kommando:

   Test-NetConnection www.microsoft.com -Port 80
   

   Det här kommandot verifierar anslutningen till www.microsoft.com på port 80. Om detta misslyckas indikerar det ett problem med utgående Internetanslutning.

5. Kontrollera DNS-inställningarna genom att köra följande kommando:

   Get-DnsClientServerAddress
   

   Det här kommandot hämtar DNS-serverns IP-adresser som konfigurerats på datorn. Kontrollera att DNS-inställningarna är korrekta och tillgängliga.

6. Kontrollera nätverkskonfigurationen genom att köra följande kommando:

   Get-NetIPConfiguration
   

   Det här kommandot visar information om nätverkskonfigurationen. Kontrollera att nätverksinställningarna är korrekta och matchar din nätverksmiljö.

SQL MI-anslutning

Problem: Utgående Internetanslutning finns inte på testservrarna

Orsaka: Inträffar på grund av en felaktig DNS-server-IP eller en felaktig nätverkskonfiguration.

Lösning:

1. Kontrollera DNS-serverns IP-adress och kontrollera att DNS-servern är igång.
2. Kontrollera att det virtuella nätverket, som används för att skapa SCOM Managed Instance, har siktlinje till DNS-servern.

Problem: Det gick inte att konfigurera DB-inloggning för MSI på SQL-hanterad instans

Orsak: Inträffar när MSI inte har konfigurerats korrekt för att komma åt SQL-hanterad instans.

Lösning: Kontrollera om MSI har konfigurerats som Microsoft Entra Admin på sql-hanterad instans. Se till att nödvändiga Microsoft Entra ID behörigheter tillhandahålls till SQL-hanterad instans för att MSI-autentisering ska fungera.

Problem: Det gick inte att ansluta till SQL MI från den här instansen

Orsaka: Inträffar eftersom det virtuella SQL MI-nätverket inte är delegerat eller inte är korrekt peerkopplat med det virtuella SCOM Managed Instance-nätverket.

Lösning:

1. Kontrollera att SQL MI är korrekt konfigurerat.
2. Kontrollera att det virtuella nätverket, som används för att skapa SCOM Managed Instance, har siktlinje för SQL MI, antingen genom att vara i samma virtuella nätverk eller via VNet-peering.

Allmänna felsökningssteg för SQL MI-anslutning

1. Generera en ny virtuell dator (VM) som körs på Windows Server 2022 eller 2019 i det valda undernätet för att skapa SCOM Managed Instance. Logga in på den virtuella datorn och konfigurera dns-servern så att den använder samma DNS-IP som användes när SCOM Managed Instance skapades.

2. Du kan antingen följa de stegvisa anvisningarna nedan, eller om du är bekant med PowerShell kör du den specifika kontrollen som anropas Invoke-ValidateSQLConnectivity i ScomValidation.ps1 skriptet. Mer information om hur du kör valideringsskriptet oberoende av varandra på testdatorn finns i Allmänna riktlinjer för att köra valideringsskriptet.

3. Öppna PowerShell ISE i administratörsläge och ange Set-ExecutionPolicy som Obegränsad.

4. Kör följande kommando för att kontrollera den utgående internetanslutningen:

   Test-NetConnection -ComputerName "www.microsoft.com" -Port 80
   

   Det här kommandot verifierar den utgående Internetanslutningen genom att försöka upprätta en anslutning till www.microsoft.com på port 80. Om anslutningen misslyckas indikerar det ett potentiellt problem med Internetanslutningen.

5. Kontrollera DNS-inställningarna och nätverkskonfigurationen genom att kontrollera att DNS-serverns IP-adresser är korrekt konfigurerade och verifiera nätverkskonfigurationsinställningarna på den dator där verifieringen utförs.

6. Testa SQL MI-anslutningen genom att köra följande kommando:

   Test-NetConnection -ComputerName $sqlMiName -Port 1433
   

   Ersätt $sqlMiName med namnet på SQL MI-värdnamnet.

   Det här kommandot testar anslutningen till SQL MI-instansen. Om anslutningen lyckas anger det att SQL MI kan nås.

DNS Server-anslutning

Problem: DNS IP som tillhandahålls (<DNS IP>) är felaktigt eller så går det inte att nå DNS-servern

Upplösning: Kontrollera DNS-serverns IP-adress och kontrollera att DNS-servern är igång.

Allmän felsökning för DNS-serveranslutning

1. Generera en ny virtuell dator (VM) som körs på Windows Server 2022 eller 2019 i det valda undernätet för att skapa SCOM Managed Instance. Logga in på den virtuella datorn och konfigurera dns-servern så att den använder samma DNS-IP som användes när SCOM Managed Instance skapades.

2. Du kan antingen följa de stegvisa anvisningarna nedan, eller om du är bekant med PowerShell kör du den specifika kontrollen som anropas Invoke-ValidateDnsIpAddress i ScomValidation.ps1 skriptet. Mer information om hur du kör valideringsskriptet oberoende av varandra på testdatorn finns i Allmänna riktlinjer för att köra valideringsskriptet.

3. Öppna PowerShell ISE i administratörsläge och ange Set-ExecutionPolicy som Obegränsad.

4. Kontrollera DNS-matchningen för den angivna IP-adressen genom att köra följande kommando:

   Resolve-DnsName -Name $ipAddress -IssueAction SilentlyContinue
   

   Ersätt $ipAddress med den IP-adress som du vill verifiera.

   Det här kommandot kontrollerar DNS-matchningen för den angivna IP-adressen. Om kommandot inte returnerar några resultat eller utlöser ett fel indikerar det ett potentiellt problem med DNS-matchning.

5. Kontrollera nätverksanslutningen till IP-adressen genom att köra följande kommando:

   Test-NetConnection -ComputerName $ipAddress -Port 80
   

   Ersätt $ipAddress med den IP-adress som du vill testa.

   Det här kommandot kontrollerar nätverksanslutningen till den angivna IP-adressen på port 80. Om anslutningen misslyckas tyder det på ett problem med nätverksanslutningen.

Domänanslutning

Problem: Domänkontrollanten för domännamn <> kan inte nås från det här nätverket, eller så är porten inte öppen på minst en domänkontrollant

Orsaka: Inträffar på grund av ett problem med den angivna DNS-server-IP-adressen eller nätverkskonfigurationen.

Lösning:

1. Kontrollera DNS-serverns IP-adress och kontrollera att DNS-servern är igång.
2. Kontrollera att domännamnsmatchningen dirigeras korrekt till den avsedda domänkontrollanten (DC) som konfigurerats för antingen Azure eller SCOM Managed Instance. Bekräfta att den här domänkontrollanten visas högst upp bland de lösta domänkontrollanterna. Om lösningen dirigeras till olika DC-servrar indikerar det ett problem med AD-domänmatchning.
3. Kontrollera domännamnet och se till att domänkontrollantens konfiguration för Azure och SCOM Managed Instance är igång.

   Anteckning

   Portarna 9389, 389/636, 88, 3268/3269, 135, 445 ska vara öppna på domänkontrollanter som konfigurerats för Azure eller SCOM Managed Instance och alla tjänster på domänkontrollanten ska köras.

Allmänna felsökningssteg för domänanslutning

1. Generera en ny virtuell dator (VM) som körs på Windows Server 2022 eller 2019 i det valda undernätet för att skapa SCOM Managed Instance. Logga in på den virtuella datorn och konfigurera dns-servern så att den använder samma DNS-IP som användes när SCOM Managed Instance skapades.

2. Du kan antingen följa de stegvisa anvisningarna nedan, eller om du är bekant med PowerShell kör du den specifika kontrollen som anropas Invoke-ValidateDomainControllerConnectivity i ScomValidation.ps1 skriptet. Mer information om hur du kör valideringsskriptet oberoende av varandra på testdatorn finns i Allmänna riktlinjer för att köra valideringsskriptet.

3. Öppna PowerShell ISE i administratörsläge och ange Set-ExecutionPolicy som Obegränsad.

4. Kontrollera domänkontrollantens nåbarhet genom att köra följande kommando:

   Resolve-DnsName -Name $domainName 
   

   Ersätt $domainName med namnet på den domän som du vill testa.

   Kontrollera att domännamnsmatchningen dirigeras korrekt till den avsedda domänkontrollanten (DC) som konfigurerats för antingen Azure eller SCOM Managed Instance. Bekräfta att den här domänkontrollanten visas högst upp bland de lösta domänkontrollanterna. Om lösningen dirigeras till olika DC-servrar indikerar det ett problem med AD-domänmatchning.

5. Så här verifierar du DNS-serverinställningarna:

   • Kontrollera att DNS-serverinställningarna på datorn som kör verifieringen är korrekt konfigurerade.
   • Kontrollera om DNS-serverns IP-adresser är korrekta och tillgängliga.

6. Så här verifierar du nätverkskonfigurationen:

   • Kontrollera nätverkskonfigurationsinställningarna på den dator där verifieringen utförs.
   • Kontrollera att datorn är ansluten till rätt nätverk och har de nätverksinställningar som krävs för att kommunicera med domänkontrollanten.

7. Kör följande kommando för att testa den port som krävs på domänkontrollanten:

   Test-NetConnection -ComputerName $domainName -Port $portToCheck
   

   Ersätt $domainName med namnet på den domän som du vill testa och $portToCheck med varje port från följande listnummer:

   • 389/636
   • 88
   • 3268/3269
   • 135
   • 445

   Kör det angivna kommandot för alla ovanstående portar.

   Det här kommandot kontrollerar om den angivna porten är öppen på den avsedda domänkontrollanten som har konfigurerats för att skapa Azure eller SCOM Managed Instance. Om kommandot visar en lyckad anslutning anger det att de nödvändiga portarna är öppna.

Validering av domänanslutning

Problem: Testhanteringsservrar kunde inte ansluta till domänen

Orsaka: Inträffar på grund av en felaktig OU-sökväg, felaktiga autentiseringsuppgifter eller ett problem i nätverksanslutningen.

Lösning:

1. Kontrollera de autentiseringsuppgifter som skapats i nyckelvalvet. Användarnamn- och lösenordshemligheten måste återspegla rätt användarnamn och format för användarnamnets värde måste vara domän\användarnamn och lösenord, som har behörighet att ansluta en dator till domänen. Som standard kan användarkonton bara lägga till upp till 10 datorer i domänen. Information om hur du konfigurerar finns i Standardgräns för antal om arbetsstationer en användare kan ansluta till domänen.
2. Kontrollera att OU-sökvägen är korrekt och blockerar inte nya datorer från att ansluta till domänen.

Allmänna felsökningssteg för validering av domänanslutning

1. Generera en ny virtuell dator (VM) som körs på Windows Server 2022 eller 2019 i det valda undernätet för att skapa SCOM Managed Instance. Logga in på den virtuella datorn och konfigurera dns-servern så att den använder samma DNS-IP-adress som användes när den hanterade SCOM-instansen skapades.

2. Du kan antingen följa de stegvisa anvisningarna nedan eller, om du är bekant med PowerShell, köra den specifika kontroll som anropas Invoke-ValidateDomainJoin i ScomValidation.ps1 skriptet. Mer information om hur du kör valideringsskriptet oberoende av varandra på testdatorn finns i Allmänna riktlinjer för att köra valideringsskriptet.

3. Öppna PowerShell ISE i administratörsläge och ange Set-ExecutionPolicy som Obegränsad.

4. Anslut den virtuella datorn till en domän med det domänkonto som används för att skapa SCOM Managed Instance. Kör följande kommando för att ansluta domänen till en dator med autentiseringsuppgifter:

   
   $domainName = "<domainname>"
   
   
   $domainJoinCredentials = New-Object pscredential -ArgumentList ("<username>", (ConvertTo-SecureString "password" -AsPlainText -Force))
   
   
   
   $ouPath = "<OU path>"
   if (![String]::IsNullOrWhiteSpace($ouPath)) {
   $domainJoinResult = Add-Computer -DomainName $domainName -Credential $domainJoinCredentials -OUPath $ouPath -Force -WarningAction SilentlyContinue -ErrorAction SilentlyContinue
   }
   else {
   $domainJoinResult = Add-Computer -DomainName $domainName -Credential $domainJoinCredentials -Force -WarningAction SilentlyContinue -ErrorAction SilentlyContinue
   }   
   

   Ersätt användarnamnet, lösenordet $domainName $ouPath med rätt värden.

   När du har kört kommandot ovan kör du följande kommando för att kontrollera om datorn har anslutits till domänen:

   Get-WmiObject -Class Win32_ComputerSystem | Select-Object -ExpandProperty PartOfDomain
   

Statisk IP- och LB FQDN-association

Problem: Det gick inte att köra tester eftersom servrarna inte kunde ansluta till domänen

Upplösning: Se till att datorerna kan ansluta till domänen. Följ felsökningsstegen i avsnittet Domänanslutningsverifiering.

Problem: DNS-namnets DNS-namn <> kunde inte lösas

Upplösning: Det angivna DNS-namnet finns inte i DNS-posterna. Kontrollera DNS-namnet och se till att det är korrekt kopplat till den statiska IP-adress som angetts.

Problem: Den angivna statiska IP-adressen <> och Load Balancer DNS-namn><matchar inte

Upplösning: Kontrollera DNS-posterna och ange rätt DNS-namn/statisk IP-kombination. Mer information finns i Skapa en statisk IP-adress och konfigurera DNS-namnet.

Allmänna felsökningssteg för statisk IP- och LB FQDN-association

1. Generera en ny virtuell dator (VM) som körs på Windows Server 2022 eller 2019 i det valda undernätet för att skapa SCOM Managed Instance. Logga in på den virtuella datorn och konfigurera dns-servern så att den använder samma DNS-IP-adress som användes när den hanterade SCOM-instansen skapades.

2. Du kan antingen följa de stegvisa anvisningarna nedan eller, om du är bekant med PowerShell, köra den specifika kontroll som anropas Invoke-ValidateStaticIPAddressAndDnsname i ScomValidation.ps1 skriptet. Mer information om hur du kör valideringsskriptet oberoende av varandra på testdatorn finns i Allmänna riktlinjer för att köra valideringsskriptet.

3. Öppna PowerShell ISE i administratörsläge och ange Set-ExecutionPolicy som Obegränsad.

4. Anslut den virtuella datorn till en domän med det domänkonto som används för att skapa SCOM Managed Instance. Om du vill ansluta den virtuella datorn till domänen följer du stegen i avsnittet Domänanslutningsverifiering.

5. Hämta IP-adress och tillhörande DNS-namn och kör följande kommandon för att se om de matchar. Matcha DNS-namnet och hämta den faktiska IP-adressen:

   $DNSRecord = Resolve-DnsName -Name $DNSName
   $ActualIP = $DNSRecord.IPAddress
   

   Om DNS-namnet inte kan matchas kontrollerar du att DNS-namnet är giltigt och associerat med den faktiska IP-adressen.

Verifiering av datorgrupp

Problem: Testet kunde inte köras eftersom servrarna inte kunde ansluta till domänen

Upplösning: Se till att datorerna kan ansluta till domänen. Följ felsökningsstegen som anges i avsnittet Domänanslutningsverifiering.

Problem: Det gick inte att hitta datorgruppen med namnet <datorgruppnamn> i domänen

Upplösning: Kontrollera förekomsten av gruppen och kontrollera namnet eller skapa ett nytt om det inte redan har skapats.

Problem: Datorgruppens <gruppnamn> för indatadatorn hanteras inte av användarnamnet för användardomänen <>

Upplösning: Gå till gruppegenskaperna och ange den här användaren som chef. Mer information finns i Skapa och konfigurera en datorgrupp.

Problem: Administratörsdomänens <användarnamn> för datorgruppens <gruppnamn> för indata har inte de behörigheter som krävs för att hantera gruppmedlemskap

Upplösning: Gå till gruppegenskaperna och markera kryssrutan Hantera kan uppdatera medlemskapslistan . Mer information finns i Skapa och konfigurera en datorgrupp.

Allmänna felsökningssteg för verifiering av datorgrupper

1. Generera en ny virtuell dator (VM) som körs på Windows Server 2022 eller 2019 i det valda undernätet för att skapa SCOM Managed Instance. Logga in på den virtuella datorn och konfigurera dns-servern så att den använder samma DNS-IP-adress som användes när den hanterade SCOM-instansen skapades.

2. Du kan antingen följa de stegvisa anvisningarna nedan eller, om du är bekant med PowerShell, köra den specifika kontroll som anropas Invoke-ValidateComputerGroup i ScomValidation.ps1 skriptet. Mer information om hur du kör valideringsskriptet oberoende av varandra på testdatorn finns i Allmänna riktlinjer för att köra valideringsskriptet.

3. Anslut den virtuella datorn till en domän med det domänkonto som används för att skapa SCOM Managed Instance. Om du vill ansluta den virtuella datorn till domänen följer du stegen i avsnittet Domänanslutningsverifiering.

4. Öppna PowerShell ISE i administratörsläge och ange Set-ExecutionPolicy som Obegränsad.

5. Kör följande kommando för att importera moduler:

   Add-WindowsFeature RSAT-AD-PowerShell -ErrorAction SilentlyContinue
   Add-WindowsFeature GPMC -ErrorAction SilentlyContinue
   

6. Kontrollera om den virtuella datorn är ansluten till domänen genom att köra följande kommando:

   Get-WmiObject -Class Win32_ComputerSystem | Select-Object -ExpandProperty PartOfDomain
   

7. Kontrollera domänens existens och om den aktuella datorn redan är ansluten till domänen genom att köra följande kommando:

   $domainJoinCredentials = New-Object pscredential -ArgumentList ("<username>", (ConvertTo-SecureString "password" -AsPlainText -Force)) 
   $Domain = Get-ADDomain -Current LocalComputer -Credential $domainUserCredentials
   

   Ersätt $username, password med tillämpliga värden.

8. Kontrollera att användaren finns i domänen genom att köra följande kommando:

   $DomainUser = Get-ADUser -Identity $username -Credential $domainUserCredentials
   

   Ersätt $username, $domainUserCredentials med tillämpliga värden

9. Kontrollera att datorgruppen finns i domänen genom att köra följande kommando:

   $ComputerGroup = Get-ADGroup -Identity $computerGroupName -Properties ManagedBy,DistinguishedName -Credential $domainUserCredentials
   

   Ersätt $computerGroupName, $domainUserCredentials med tillämpliga värden.

10. Om användar- och datorgruppen finns kontrollerar du om användaren är ansvarig för datorgruppen.

    Import-Module ActiveDirectory
      	$DomainDN = $Domain.DistinguishedName
      $GroupDN = $ComputerGroup.DistinguishedName
     $RightsGuid = [GUID](Get-ItemProperty "AD:\CN=Self-Membership,CN=Extended-Rights,CN=Configuration,$DomainDN" -Name rightsGuid -Credential $domainUserCredentials | Select-Object -ExpandProperty rightsGuid)
    
      # Run Get ACL under the give credentials
      $job = Start-Job -ScriptBlock {
          param (
              [Parameter(Mandatory = $true)]
              [string] $GroupDN,
              [Parameter(Mandatory = $true)]
              [GUID] $RightsGuid
          )
    
      Import-Module ActiveDirectory
      $AclRule = (Get-Acl -Path "AD:\$GroupDN").GetAccessRules($true,$true,[System.Security.Principal.SecurityIdentifier]) |  Where-Object {($_.ObjectType -eq $RightsGuid) -and ($_.ActiveDirectoryRights -like '*WriteProperty*')}
          return $AclRule
    
      } -ArgumentList $GroupDN, $RightsGuid -Credential $domainUserCredentials
    
      $timeoutSeconds = 20
      $jobResult = Wait-Job $job -Timeout $timeoutSeconds
    
      # Job did not complete within the timeout
      if ($null -eq $jobResult) {
          Write-Host "Checking permissions, timeout after 10 seconds."
          Remove-Job $job -Force
      } else {
          # Job completed within the timeout
          $AclRule = Receive-Job $job
          Remove-Job $job -Force
      }
    
      $managerCanUpdateMembership = $false
      if (($null -ne $AclRule) -and ($AclRule.AccessControlType -eq 'Allow') -and ($AclRule.IdentityReference -eq $DomainUser.SID)) {
          $managerCanUpdateMembership = $true
    
    

    Om managerCanUpdateMembership är Sant har domänanvändaren behörighet att uppdatera medlemskap i datorgruppen. Om managerCanUpdateMembership är Falskt ger du datorgruppen behörighet att hantera domänanvändaren.

gMSA-kontovalidering

Problem: Testet körs inte eftersom servrarna inte kunde ansluta till domänen

Upplösning: Se till att datorerna kan ansluta till domänen. Följ felsökningsstegen som anges i avsnittet Domänanslutningsverifiering.

Problem: Datorgruppen med namnet <datorgruppsnamn> finns inte i domänen. Medlemmarna i den här gruppen måste kunna hämta gMSA-lösenordet

Upplösning: Kontrollera förekomsten av gruppen och kontrollera det angivna namnet.

Problem: gMSA med namndomänen <gMSA> hittades inte i domänen

Upplösning: Kontrollera förekomsten av gMSA-kontot och kontrollera namnet eller skapa ett nytt om det inte redan har skapats.

Problem: gMSA-domänen <gMSA> är inte aktiverad

Upplösning: Aktivera den med följande kommando:

Set-ADServiceAccount -Identity <domain gMSA> -Enabled $true

Problem: gMSA-domän <gMSA> måste ha dns-värdnamnet inställt på <DNS-namn>

Upplösning: Egenskapen har inte angetts korrekt i DNSHostName gMSA. Ange egenskapen DNSHostName med följande kommando:

Set-ADServiceAccount -Identity <domain gMSA> -DNSHostName <DNS Name>

Problem: Sam-kontonamnet för gMSA-domänen <gMSA> överskrider gränsen på 15 tecken

Upplösning:SamAccountName Ange med följande kommando:

Set-ADServiceAccount -Identity <domain gMSA> -SamAccountName <shortname$>

Problem: Datorgruppens <gruppnamn> måste anges som PrincipalsAllowedToRetrieveManagedPassword för gMSA-domänen <gMSA>

Upplösning: gMSA har PrincipalsAllowedToRetrieveManagedPassword inte angetts korrekt. PrincipalsAllowedToRetrieveManagedPassword Ange med följande kommando:

Set-ADServiceAccount -Identity <domain gMSA> - PrincipalsAllowedToRetrieveManagedPassword <computer group name>

Problem: SPN:erna har inte angetts korrekt för gMSA-domänens <gMSA>

Upplösning: gMSA har inte rätt namn på tjänstens huvudnamn angivna. Ange tjänstens huvudnamn med följande kommando:

Set-ADServiceAccount -Identity <domain gMSA> -ServicePrincipalNames <set of SPNs>

Allmänna felsökningssteg för gMSA-kontovalidering

1. Generera en ny virtuell dator (VM) som körs på Windows Server 2022 eller 2019 i det valda undernätet för att skapa SCOM Managed Instance. Logga in på den virtuella datorn och konfigurera dns-servern så att den använder samma DNS-IP-adress som användes när den hanterade SCOM-instansen skapades.

2. Du kan antingen följa de stegvisa anvisningarna nedan eller, om du är bekant med PowerShell, köra den specifika kontroll som anropas Invoke-ValidategMSAAccount i ScomValidation.ps1 skriptet. Mer information om hur du kör valideringsskriptet oberoende av varandra på testdatorn finns i Allmänna riktlinjer för att köra valideringsskriptet.

3. Anslut den virtuella datorn till en domän med det domänkonto som används för att skapa SCOM Managed Instance. Om du vill ansluta den virtuella datorn till domänen följer du stegen i avsnittet Domänanslutningsverifiering.

4. Öppna PowerShell ISE i administratörsläge och ange Set-ExecutionPolicy som Obegränsad.

5. Kör följande kommando för att importera moduler:

   Add-WindowsFeature RSAT-AD-PowerShell -ErrorAction SilentlyContinue
   Add-WindowsFeature GPMC -ErrorAction SilentlyContinue
   

6. Kontrollera att servrarna har anslutits till domänen genom att köra följande kommando:

   (Get-WmiObject -Class Win32_ComputerSystem).PartOfDomain
   

7. Kontrollera att datorgruppen finns genom att köra följande kommando:

   $Credentials = New-Object pscredential -ArgumentList ("<username>", (ConvertTo-SecureString "password" -AsPlainText -Force))
   $adGroup = Get-ADGroup -Identity $computerGroupName -Properties ManagedBy,DistinguishedName -Credential $Credentials
   

   Ersätt användarnamn, lösenord och computerGroupName med tillämpliga värden.

8. Kör följande kommando för att kontrollera förekomsten av gMSA-kontot:

   $adServiceAccount = Get-ADServiceAccount -Identity gMSAAccountName -Properties DNSHostName,Enabled,PrincipalsAllowedToRetrieveManagedPassword,SamAccountName,ServicePrincipalNames -Credential $Credentials
   

9. Kontrollera om gMSA-kontot är aktiverat för att verifiera egenskaperna för gMSA-kontot:

   (Get-ADServiceAccount -Identity <GmsaAccount>).Enabled
   

   Om kommandot returnerar False aktiverar du kontot i domänen.

10. Kontrollera att DNS-värdnamnet för gMSA-kontot matchar det angivna DNS-namnet (LB DNS-namn) genom att köra följande kommandon:

    (Get-ADServiceAccount -Identity <GmsaAccount>).DNSHostName
    

    Om kommandot inte returnerar det förväntade DNS-namnet uppdaterar du DNS-värdnamnet för gMsaAccount till LB DNS-namnet.

11. Kontrollera att Sam-kontonamnet för gMSA-kontot inte överskrider gränsen på 15 tecken:

    (Get-ADServiceAccount -Identity <GmsaAccount>).SamAccountName.Length
    

12. Kör följande kommandon för att verifiera PrincipalsAllowedToRetrieveManagedPassword egenskapen:

    Kontrollera om den angivna datorgruppen har angetts som "PrincipalsAllowedToRetrieveManagedPassword" för gMSA-kontot:

    (Get-ADServiceAccount -Identity <GmsaAccount>).PrincipalsAllowedToRetrieveManagedPassword -contains (Get-ADGroup -Identity <ComputerGroupName>).DistinguishedName
    

    Ersätt gMSAAccount och ComputerGroupName med tillämpliga värden.

13. Kör följande kommando för att verifiera tjänstens huvudnamn (SPN) för gMSA-kontot:

    $CorrectSPNs = @("MSOMSdkSvc/$dnsHostName", "MSOMSdkSvc/$dnsName", "MSOMHSvc/$dnsHostName", "MSOMHSvc/$dnsName")
    (Get-ADServiceAccount -Identity <GmsaAccount>).ServicePrincipalNames
    

    Kontrollera om resultaten har rätt SPN. Ersätt $dnsName med LB DNS-namnet som angavs när SCOM Managed Instance skapades. Ersätt $dnsHostName med LB DNS-kortnamn. Exempel: MSOMHSvc/ContosoLB.domain.com, MSOMHSvc/ContosoLB, MSOMSdkSvc/ContosoLB.domain.com och MSOMSdkSvc/ContosoLB är tjänstens huvudnamn.

Grupprincipvalidering

Viktigt

Du kan åtgärda grupprincipobjektsprinciper genom att samarbeta med active directory-administratören och undanta System Center Operations Manager från nedanstående principer:

• Grupprincipobjekt som ändrar eller åsidosätter lokala administratörsgruppkonfigurationer.
• Grupprincipobjekt som inaktiverar nätverksautentisering.
• Utvärdera grupprincipobjekt som hindrar fjärrinloggning för lokala administratörer.

Problem: Det gick inte att köra det här testet eftersom servrarna inte kunde ansluta till domänen

Upplösning: Kontrollera att datorerna ansluter till domänen. Följ felsökningsstegen i avsnittet Domänanslutningsverifiering.

Problem: gMSA med namndomänen <gMSA> kunde inte hittas i din domän. Det här kontot måste vara en lokal administratör på servern

Upplösning: Kontrollera att kontot finns och se till att gMSA och domänanvändaren ingår i den lokala administratörsgruppen.

Problem: Kontodomänens <användarnamn> och <domän gMSA> kunde inte läggas till i den lokala gruppen Administratörer på testhanteringsservrarna eller sparades inte i gruppen efter grupprincipuppdateringen

Upplösning: Kontrollera att det angivna domänanvändarnamnet och gMSA-indata är korrekta, inklusive det fullständiga namnet (domän\konto). Kontrollera också om det finns några grupprinciper på testdatorn som åsidosätter den lokala gruppen Administratörer på grund av principer som skapats på organisationsenhets- eller domännivå. gMSA och domänanvändare måste vara en del av den lokala administratörsgruppen för att SCOM Managed Instance ska fungera. SCOM Managed Instance-datorer måste undantas från alla principer som översidosätter den lokala administratörsgruppen (arbeta med AD-administratör).

Problem: SCOM Managed Instance misslyckades

Orsaka: En grupprincip i domänen (namn: <grupprincipnamn>) åsidosätter den lokala gruppen Administratörer på testhanteringsservrar, antingen på den organisationsenhet som innehåller servrarna eller domänens rot.

Upplösning: Kontrollera att organisationsenheten för SCOM Managed Instance Management Servers (<OU Path>) inte påverkas av att inga principer åsidosätter gruppen.

Allmänna felsökningssteg för grupprincipvalidering

1. Generera en ny virtuell dator (VM) som körs på Windows Server 2022 eller 2019 i det valda undernätet för att skapa SCOM Managed Instance. Logga in på den virtuella datorn och konfigurera dns-servern så att den använder samma DNS-IP som användes när SCOM Managed Instance skapades.

2. Du kan antingen följa de stegvisa anvisningarna nedan, eller om du är bekant med PowerShell kör du den specifika kontrollen som anropas Invoke-ValidateLocalAdminOverideByGPO i ScomValidation.ps1 skriptet. Mer information om hur du kör valideringsskriptet oberoende av varandra på testdatorn finns i Allmänna riktlinjer för att köra valideringsskriptet.

3. Anslut den virtuella datorn till en domän med det domänkonto som används för att skapa SCOM Managed Instance. Följ stegen i valideringsavsnittet Domänanslutning för att ansluta den virtuella datorn till domänen.

4. Öppna PowerShell ISE i administratörsläge och ange Set-ExecutionPolicy som Obegränsad.

5. Kör följande kommandon för att importera moduler:

   Add-WindowsFeature RSAT-AD-PowerShell -ErrorAction SilentlyContinue
   Add-WindowsFeature GPMC -ErrorAction SilentlyContinue
   

6. Kontrollera om servrarna har anslutit till domänen genom att köra följande kommando:

   (Get-WmiObject -Class Win32_ComputerSystem).PartOfDomain
   

   Kommandot måste returnera True.

7. Kontrollera förekomsten av gMSA-kontot genom att köra följande kommando:

   Get-ADServiceAccount -Identity <GmsaAccount>
   

8. Kör följande kommando för att verifiera förekomsten av användarkonton i den lokala gruppen Administratörer:

   $domainJoinCredentials = New-Object pscredential -ArgumentList ("<username>", (ConvertTo-SecureString "password" -AsPlainText -Force)) 
   $addToAdminResult = Add-LocalGroupMember -Group "Administrators" -Member $userName, $gMSAccount -ErrorAction SilentlyContinue 
   $gpUpdateResult = gpupdate /force 
   $LocalAdmins = Get-LocalGroupMember -Group 'Administrators' | Select-Object -ExpandProperty Name
   

   <UserName> Ersätt och <GmsaAccount> med de faktiska värdena.

9. Kör följande kommando för att fastställa information om domän- och organisationsenhet (OU):

   Get-ADOrganizationalUnit -Filter "DistinguishedName -like '$ouPathDN'" -Properties CanonicalName -Credential $domainUserCredentials
   

   <Ersätt OuPathDN> med den faktiska OU-sökvägen.

10. Kör följande kommando för att hämta GPO-rapporten (grupprincip Object) från domänen och söka efter överordnade principer i den lokala gruppen Administratörer:

     [xml]$gpoReport = Get-GPOReport -All -ReportType Xml -Domain <domain name>
     foreach ($GPO in $gpoReport.GPOS.GPO) {
         # Check if the GPO links to the entire domain, or the input OU if provided
         if (($GPO.LinksTo.SOMPath -eq $domainName) -or ($GPO.LinksTo.SOMPath -eq $ouPathCN)) {
             # Check if there is a policy overriding the Local Users and Groups
             if ($GPO.Computer.ExtensionData.Extension.LocalUsersAndGroups.Group) {
             $GroupPolicy = $GPO.Computer.ExtensionData.Extension.LocalUsersAndGroups.Group | Select-Object @{Name='RemoveUsers';Expression={$_.Properties.deleteAllUsers}},@{Name='RemoveGroups';Expression={$_.Properties.deleteAllGroups}},@{Name='GroupName';Expression={$_.Properties.groupName}}
             # Check if the policy is acting on the BUILTIN\Administrators group, and whether it is removing other users or groups
             if (($GroupPolicy.groupName -eq "Administrators (built-in)") -and (($GroupPolicy.RemoveUsers -eq 1) -or ($GroupPolicy.RemoveGroups -eq 1))) {
              $overridingPolicyFound = $true
              $overridingPolicyName = $GPO.Name
                 }
             }
         }
     }
     if($overridingPolicyFound) {
      Write-Warning "Validation failed. A group policy in your domain (name: $overridingPolicyName) is overriding the local Administrators group on this machine. This will cause SCOM MI installation to fail. Please ensure that the OU for SCOM MI Management Servers is not affected by this policy"
     }
     else {
      Write-Output "Validation suceeded. No group policy found in your domain which overrides local Administrators. "
     }
    

Om skriptkörningen ger en varning som Validering misslyckades finns det en princip (namn som i varningsmeddelandet) som åsidosätter den lokala administratörsgruppen. Kontakta Active Directory-administratören och undanta System Center Operations Manager-hanteringsservern från principen.