Řešení běžných chyb při ověřování vstupních parametrů

Tento článek popisuje chyby, ke kterým může dojít při ověřování vstupních parametrů a jejich řešení.

Pokud při vytváření místních parametrů narazíte na nějaké problémy, použijte tento skript a požádejte ho o pomoc.

Tento skript je navržený tak, aby vám pomohl vyřešit problémy související s vytvářením místních parametrů. Získejte přístup ke skriptu a využijte jeho funkce k řešení jakýchkoli potíží, se kterými se můžete setkat při vytváření místních parametrů.

Spuštěním skriptu postupujte takto:

1. Stáhněte skript a spusťte ho s možností -Help , abyste získali parametry.
2. Přihlaste se pomocí přihlašovacích údajů domény k počítači připojenému k doméně. Počítač musí být v doméně používané pro spravovanou instanci SCOM. Po přihlášení spusťte skript se zadanými parametry.
3. Pokud nějaké ověření selže, proveďte opravné akce navrhované skriptem a spusťte skript znovu, dokud neprojde všemi ověřeními.
4. Jakmile budou všechna ověření úspěšná, použijte pro vytvoření instance stejné parametry jako ve skriptu.

Ověření kontrol a podrobností

Ověřování	Popis
Kontroly ověřování vstupu Azure
Nastavení požadavků na testovacím počítači	1. Nainstalujte modul AD PowerShell. 2. Nainstalujte modul PowerShellu zásad skupiny.
Připojení k internetu	Zkontroluje, jestli je na testovacích serverech dostupné odchozí připojení k internetu.
Připojení SQL MI	Zkontroluje, jestli je poskytnutá mi SQL dostupná ze sítě, na které jsou vytvořeny testovací servery.
Připojení k serveru DNS	Zkontroluje, jestli je poskytnutá IP adresa serveru DNS dostupná a překládá se na platný server DNS.
Připojení k doméně	Zkontroluje, jestli je zadaný název domény dostupný a překládá se na platnou doménu.
Ověření připojení k doméně	Zkontroluje, jestli připojení k doméně proběhne úspěšně pomocí zadané cesty organizační jednotky a přihlašovacích údajů k doméně.
Přidružení statické IP adresy a plně kvalifikovaného názvu domény nástroje pro vyrovnávání zatížení	Zkontroluje, jestli byl pro zadanou statickou IP adresu vytvořen záznam DNS se zadaným názvem DNS.
Ověření skupin počítačů	Zkontroluje, jestli zadanou skupinu počítačů spravuje zadaný uživatel domény a správce může aktualizovat členství ve skupinách.
Ověření účtu gMSA	Zkontroluje, jestli je zadané gMSA: – je povolené. – Má svůj název hostitele DNS nastavený na zadaný název DNS nástroje pro vyrovnávání zatížení. – Má délku názvu účtu SAM o délce 15 znaků nebo méně. - Má správné hlavní názvy služeb. Heslo můžou načíst členové poskytnuté skupiny počítačů.
Ověření zásad skupiny	Zkontroluje, jestli je doména (nebo cesta organizační jednotky, která je hostitelem serverů pro správu), ovlivněná všemi zásadami skupiny, které změní místní skupinu Administrators.
Vyčištění po ověření	Odpojte se od domény.

Obecné pokyny pro spuštění ověřovacího skriptu

Během procesu onboardingu se provádí ověření na kartě/fáze ověření. Pokud jsou všechna ověření úspěšná, můžete přejít k závěrečné fázi vytváření spravované instance SCOM. Pokud se ale nějaké ověření nezdaří, nemůžete pokračovat ve vytváření.

V případech, kdy selže více ověření, je nejlepším řešením všech problémů najednou ručním spuštěním ověřovacího skriptu na testovacím počítači.

Důležité

Na začátku vytvořte nový testovací virtuální počítač s Windows Serverem (2022/2019) ve stejné podsíti vybrané pro vytvoření spravované instance SCOM. Následně může správce AD i správce sítě tento virtuální počítač využít jednotlivě k ověření efektivity příslušných změn. Tento přístup výrazně šetří čas strávený při komunikaci mezi správcem AD a správcem sítě.

Pomocí následujícího postupu spusťte ověřovací skript:

1. Vygenerujte nový virtuální počítač spuštěný ve Windows Serveru 2022 nebo 2019 ve zvolené podsíti pro vytvoření spravované instance SCOM. Přihlaste se k virtuálnímu počítači a nakonfigurujte jeho server DNS tak, aby používal stejnou IP adresu DNS, která byla použita při vytváření spravované instance SCOM. Příklad:

   

2. Stáhněte ověřovací skript do testovacího virtuálního počítače a extrahujte ho. Skládá se z pěti souborů:

   • ScomValidation.ps1
   • RunValidationAsSCOMAdmin.ps1
   • RunValidationAsActiveDirectoryAdmin.ps1
   • RunValidationAsNetworkAdmin.ps1
   • Readme.txt

3. Pokud chcete spustit RunValidationAsSCOMAdmin.ps1, postupujte podle kroků uvedených v souboru Readme.txt. Před spuštěním nezapomeňte vyplnit hodnotu nastavení v runValidationAsSCOMAdmin.ps1 příslušnými hodnotami.

   # $settings = @{
   #   Configuration = @{
   #         DomainName="test.com"                 
   #         OuPath= "DC=test,DC=com"           
   #         DNSServerIP = "190.36.1.55"           
   #         UserName="test\testuser"              
   #         Password = "password"                 
   #         SqlDatabaseInstance= "test-sqlmi-instance.023a29518976.database.windows.net" 
   #         ManagementServerGroupName= "ComputerMSG"      
   #         GmsaAccount= "test\testgMSA$"
   #         DnsName= "lbdsnname.test.com"
   #         LoadBalancerIP = "10.88.78.200"
   #     }
   # }
   # Note : Before running this script, please make sure you have provided all the parameters in the settings
   $settings = @{
   Configuration = @{
   DomainName="<domain name>"
   OuPath= "<OU path>"
   DNSServerIP = "<DNS server IP>"
   UserName="<domain user name>"
   Password = "<domain user password>"
   SqlDatabaseInstance= "<SQL MI Host name>"
   ManagementServerGroupName= "<Computer Management server group name>"
   GmsaAccount= "<GMSA account>"
   DnsName= "<DNS name associated with the load balancer IP address>"
   LoadBalancerIP = "<Load balancer IP address>"
   }
   }
   

4. Obecně platí, že RunValidationAsSCOMAdmin.ps1 spouští všechna ověření. Pokud chcete spustit konkrétní kontrolu, otevřete soubor ScomValidation.ps1 a okomentujte všechny ostatní kontroly, které jsou na konci souboru. V konkrétní kontrole můžete také přidat zarážku, abyste mohli kontrolu ladit a lépe porozumět problémům.

        # Default mode is - SCOMAdmin, by default if mode is not passed then it will run all the validations  

    # adding all the checks to result set 

    try { 

        # Connectivity checks 

        $validationResults += Invoke-ValidateStorageConnectivity $settings 

        $results = ConvertTo-Json $validationResults -Compress 

         

        $validationResults += Invoke-ValidateSQLConnectivity $settings 

        $results = ConvertTo-Json $validationResults -Compress 

 

        $validationResults += Invoke-ValidateDnsIpAddress $settings 

        $results = ConvertTo-Json $validationResults -Compress 

 

        $validationResults += Invoke-ValidateDomainControllerConnectivity $settings 

        $results = ConvertTo-Json $validationResults -Compress 

 

        # Parameter validations 

        $validationResults += Invoke-ValidateDomainJoin $settings 

        $results = ConvertTo-Json $validationResults -Compress 

 

        $validationResults += Invoke-ValidateStaticIPAddressAndDnsname $settings 

        $results = ConvertTo-Json $validationResults -Compress 

 

        $validationResults += Invoke-ValidateComputerGroup $settings 

        $results = ConvertTo-Json $validationResults -Compress 

 

        $validationResults += Invoke-ValidategMSAAccount $settings 

        $results = ConvertTo-Json $validationResults -Compress 

             

        $validationResults += Invoke-ValidateLocalAdminOverideByGPO $settings 

        $results = ConvertTo-Json $validationResults -Compress 

    } 

    catch { 

        Write-Verbose -Verbose  $_ 

    } 

5. Ověřovací skript zobrazí všechny kontroly ověření a jejich příslušné chyby, které vám pomůžou vyřešit problémy s ověřením. Pro rychlé řešení spusťte skript v prostředí PowerShell ISE se zarážkou, což může urychlit proces ladění.

   Pokud všechny kontroly proběhnou úspěšně, vraťte se na stránku onboardingu a znovu spusťte proces onboardingu.

Připojení k internetu

Problém: Odchozí připojení k internetu na testovacích serverech neexistuje

Příčina: Příčinou je nesprávná IP adresa serveru DNS nebo nesprávná konfigurace sítě.

Řešení:

1. Zkontrolujte IP adresu serveru DNS a ujistěte se, že je server DNS spuštěný a spuštěný.
2. Ujistěte se, že virtuální síť, která se používá k vytvoření spravované instance SCOM, má přehled o serveru DNS.

Problém: Nejde se připojit k účtu úložiště a stáhnout bity produktů spravované instance SCOM

Příčina: Dochází k problému s připojením k internetu.

Řešení: Ověřte, že virtuální síť používaná k vytvoření spravované instance SCOM má odchozí přístup k internetu. Vytvořte testovací virtuální počítač ve stejné podsíti jako spravovaná instance SCOM a otestujte odchozí připojení z testovacího virtuálního počítače.

Problém: Test připojení k internetu selhal. Požadované koncové body nejsou dostupné z virtuální sítě.

Příčina: Příčinou je nesprávná IP adresa serveru DNS nebo nesprávná konfigurace sítě.

Řešení:

• Zkontrolujte IP adresu serveru DNS a ujistěte se, že je server DNS spuštěný a spuštěný.

• Ujistěte se, že virtuální síť, která se používá k vytvoření spravované instance SCOM, má přehled o serveru DNS.

• Ujistěte se, že spravovaná instance SCOM má odchozí přístup k internetu a že je správně nakonfigurovaná skupina zabezpečení sítě nebo brána firewall tak, aby povolovala přístup k požadovaným koncovým bodům, jak je popsáno v požadavcích brány firewall.

Obecné kroky pro řešení potíží s připojením k internetu

1. Vygenerujte nový virtuální počítač spuštěný ve Windows Serveru 2022 nebo 2019 ve zvolené podsíti pro vytvoření spravované instance SCOM. Přihlaste se k virtuálnímu počítači a nakonfigurujte jeho server DNS tak, aby používal stejnou IP adresu DNS, která byla použita při vytváření spravované instance SCOM.

2. Můžete postupovat buď podle podrobných pokynů uvedených níže, nebo pokud znáte PowerShell, spusťte konkrétní kontrolu volanou Invoke-ValidateStorageConnectivity ve skriptu ScomValidation.ps1 . Další informace o nezávislém spuštění ověřovacího skriptu na testovacím počítači najdete v obecných pokynech pro spuštění ověřovacího skriptu.

3. Otevřete prostředí PowerShell ISE v režimu správce a nastavte set-ExecutionPolicy na unrestricted.

4. Pokud chcete zkontrolovat připojení k internetu, spusťte následující příkaz:

   Test-NetConnection www.microsoft.com -Port 80
   

   Tento příkaz ověří připojení k www.microsoft.com na portu 80. Pokud se to nezdaří, značí problém s odchozím připojením k internetu.

5. Pokud chcete ověřit nastavení DNS, spusťte následující příkaz:

   Get-DnsClientServerAddress
   

   Tento příkaz načte IP adresy serveru DNS nakonfigurované na počítači. Ujistěte se, že jsou nastavení DNS správná a přístupná.

6. Pokud chcete zkontrolovat konfiguraci sítě, spusťte následující příkaz:

   Get-NetIPConfiguration
   

   Tento příkaz zobrazí podrobnosti o konfiguraci sítě. Ověřte, že jsou nastavení sítě přesná a odpovídají vašemu síťovému prostředí.

Připojení SQL MI

Problém: Odchozí připojení k internetu na testovacích serverech neexistuje

Příčina: Příčinou je nesprávná IP adresa serveru DNS nebo nesprávná konfigurace sítě.

Řešení:

1. Zkontrolujte IP adresu serveru DNS a ujistěte se, že je server DNS spuštěný a spuštěný.
2. Ujistěte se, že virtuální síť, která se používá k vytvoření spravované instance SCOM, má přehled o serveru DNS.

Problém: Nepodařilo se nakonfigurovat přihlášení k databázi pro MSI ve spravované instanci SQL

Příčina: Nastane v případě, že msi není správně nakonfigurovaná pro přístup ke spravované instanci SQL.

Řešení: Zkontrolujte, jestli je MSI nakonfigurovaná jako Microsoft Entra Admin ve spravované instanci SQL. Ujistěte se, že spravované instanci SQL poskytuje oprávnění Microsoft Entra ID, aby ověřování MSI fungovalo.

Problém: Nepodařilo se připojit k SQL MI z této instance

Příčina: Dochází k tomu, že virtuální síť SQL MI není delegovaná nebo není správně v partnerském vztahu s virtuální sítí spravované instance SCOM.

Řešení:

1. Ověřte, že je sql MI správně nakonfigurovaný.
2. Ujistěte se, že virtuální síť, která se používá k vytvoření spravované instance SCOM, má přehled o SQL MI, a to buď ve stejné virtuální síti, nebo v partnerském vztahu virtuálních sítí.

Obecné kroky pro řešení potíží s připojením k SQL MI

1. Vygenerujte nový virtuální počítač spuštěný ve Windows Serveru 2022 nebo 2019 ve zvolené podsíti pro vytvoření spravované instance SCOM. Přihlaste se k virtuálnímu počítači a nakonfigurujte jeho server DNS tak, aby používal stejnou IP adresu DNS, která byla použita při vytváření spravované instance SCOM.

2. Můžete postupovat buď podle podrobných pokynů uvedených níže, nebo pokud znáte PowerShell, spusťte konkrétní kontrolu volanou Invoke-ValidateSQLConnectivity ve skriptu ScomValidation.ps1 . Další informace o nezávislém spuštění ověřovacího skriptu na testovacím počítači najdete v obecných pokynech pro spuštění ověřovacího skriptu.

3. Otevřete prostředí PowerShell ISE v režimu správce a nastavte set-ExecutionPolicy na unrestricted.

4. Pokud chcete zkontrolovat odchozí připojení k internetu, spusťte následující příkaz:

   Test-NetConnection -ComputerName "www.microsoft.com" -Port 80
   

   Tento příkaz ověří odchozí připojení k internetu tím, že se pokusí navázat připojení k www.microsoft.com na portu 80. Pokud se připojení nezdaří, značí potenciální problém s připojením k internetu.

5. Pokud chcete ověřit nastavení DNS a konfiguraci sítě, ujistěte se, že jsou IP adresy serveru DNS správně nakonfigurované a ověřte nastavení konfigurace sítě na počítači, kde se provádí ověření.

6. Pokud chcete otestovat připojení SQL MI, spusťte následující příkaz:

   Test-NetConnection -ComputerName $sqlMiName -Port 1433
   

   Nahraďte $sqlMiName názvem hostitele SQL MI.

   Tento příkaz otestuje připojení k instanci SQL MI. Pokud je připojení úspěšné, znamená to, že sql MI je dostupný.

Připojení k serveru DNS

Problém: Zadanou IP adresu DNS (<IP> adresa DNS) je nesprávná nebo server DNS není dostupný

Řešení: Zkontrolujte IP adresu serveru DNS a ujistěte se, že je server DNS spuštěný a spuštěný.

Obecné řešení potíží s připojením k serveru DNS

1. Vygenerujte nový virtuální počítač spuštěný ve Windows Serveru 2022 nebo 2019 ve zvolené podsíti pro vytvoření spravované instance SCOM. Přihlaste se k virtuálnímu počítači a nakonfigurujte jeho server DNS tak, aby používal stejnou IP adresu DNS, která byla použita při vytváření spravované instance SCOM.

2. Můžete postupovat buď podle podrobných pokynů uvedených níže, nebo pokud znáte PowerShell, spusťte konkrétní kontrolu volanou Invoke-ValidateDnsIpAddress ve skriptu ScomValidation.ps1 . Další informace o nezávislém spuštění ověřovacího skriptu na testovacím počítači najdete v obecných pokynech pro spuštění ověřovacího skriptu.

3. Otevřete prostředí PowerShell ISE v režimu správce a nastavte set-ExecutionPolicy na unrestricted.

4. Pokud chcete zkontrolovat překlad DNS pro zadanou IP adresu, spusťte následující příkaz:

   Resolve-DnsName -Name $ipAddress -IssueAction SilentlyContinue
   

   Nahraďte $ipAddress IP adresou, kterou chcete ověřit.

   Tento příkaz zkontroluje překlad DNS zadané IP adresy. Pokud příkaz nevrátí žádné výsledky nebo vyvolá chybu, značí potenciální problém s překladem DNS.

5. Pokud chcete ověřit síťové připojení k IP adrese, spusťte následující příkaz:

   Test-NetConnection -ComputerName $ipAddress -Port 80
   

   Nahraďte $ipAddress IP adresou, kterou chcete otestovat.

   Tento příkaz zkontroluje síťové připojení k zadané IP adrese na portu 80. Pokud se připojení nezdaří, navrhne problém s připojením k síti.

Připojení k doméně

Problém: Řadič domény pro název> domény <není dostupný z této sítě nebo port není otevřený na alespoň jednom řadiči domény.

Příčina: K problému dochází kvůli zadané IP adrese serveru DNS nebo vaší konfiguraci sítě.

Řešení:

1. Zkontrolujte IP adresu serveru DNS a ujistěte se, že je server DNS spuštěný a spuštěný.
2. Ujistěte se, že překlad názvů domén je správně směrován na určený řadič domény nakonfigurovaný pro spravovanou instanci Azure nebo SCOM. Ověřte, že je tento řadič domény uvedený v horní části vyřešených řadičů domény. Pokud se řešení směruje na různé servery DC, značí problém s překladem domény AD.
3. Zkontrolujte název domény a ujistěte se, že je řadič domény nakonfigurovaný pro spravovanou instanci Azure a SCOM.

   Poznámka:

   Porty 9389, 389/636, 88, 3268/3269, 135, 445 by měly být otevřené na řadiči domény nakonfigurovaném pro Spravovanou instanci Azure nebo SCOM a všechny služby v řadiči domény by měly být spuštěné.

Obecné kroky pro řešení potíží s připojením k doméně

1. Vygenerujte nový virtuální počítač spuštěný ve Windows Serveru 2022 nebo 2019 ve zvolené podsíti pro vytvoření spravované instance SCOM. Přihlaste se k virtuálnímu počítači a nakonfigurujte jeho server DNS tak, aby používal stejnou IP adresu DNS, která byla použita při vytváření spravované instance SCOM.

2. Můžete postupovat buď podle podrobných pokynů uvedených níže, nebo pokud znáte PowerShell, spusťte konkrétní kontrolu volanou Invoke-ValidateDomainControllerConnectivity ve skriptu ScomValidation.ps1 . Další informace o nezávislém spuštění ověřovacího skriptu na testovacím počítači najdete v obecných pokynech pro spuštění ověřovacího skriptu.

3. Otevřete prostředí PowerShell ISE v režimu správce a nastavte set-ExecutionPolicy na unrestricted.

4. Pokud chcete zkontrolovat dostupnost řadiče domény, spusťte následující příkaz:

   Resolve-DnsName -Name $domainName 
   

   Nahraďte $domainName názvem domény, kterou chcete testovat.

   Ujistěte se, že překlad názvů domén je správně směrován na určený řadič domény nakonfigurovaný pro spravovanou instanci Azure nebo SCOM. Ověřte, že je tento řadič domény uvedený v horní části vyřešených řadičů domény. Pokud se řešení směruje na různé servery DC, značí problém s překladem domény AD.

5. Ověření nastavení serveru DNS:

   • Ujistěte se, že jsou správně nakonfigurovaná nastavení serveru DNS na počítači, na kterém běží ověření.
   • Ověřte, jestli jsou IP adresy serveru DNS přesné a přístupné.

6. Ověření konfigurace sítě:

   • Ověřte nastavení konfigurace sítě na počítači, na kterém se provádí ověření.
   • Ujistěte se, že je počítač připojený ke správné síti a má potřebná nastavení sítě pro komunikaci s řadičem domény.

7. Pokud chcete otestovat požadovaný port na řadiči domény, spusťte následující příkaz:

   Test-NetConnection -ComputerName $domainName -Port $portToCheck
   

   Nahraďte $domainName názvem domény, kterou chcete testovat, a $portToCheck každý port z následujícího čísla seznamu:

   • 389/636
   • 88
   • 3268/3269
   • 135
   • 445

   Spusťte zadaný příkaz pro všechny výše uvedené porty.

   Tento příkaz zkontroluje, jestli je zadaný port otevřený na určeném řadiči domény, který je nakonfigurovaný pro vytvoření spravované instance Azure nebo SCOM. Pokud příkaz zobrazí úspěšné připojení, znamená to, že jsou otevřené potřebné porty.

Ověření připojení k doméně

Problém: Testovací servery pro správu se nepodařilo připojit k doméně

Příčina: Nastane kvůli nesprávné cestě organizační jednotky, nesprávným přihlašovacím údajům nebo problému v síťovém připojení.

Řešení:

1. Zkontrolujte přihlašovací údaje vytvořené ve vašem trezoru klíčů. Tajný klíč uživatelského jména a hesla musí odrážet správné uživatelské jméno a formát hodnoty uživatelského jména musí být doména\uživatelské jméno a heslo, které mají oprávnění k připojení počítače k doméně. Ve výchozím nastavení můžou uživatelské účty do domény přidávat až 10 počítačů. Pokud chcete nakonfigurovat, podívejte se na výchozí limit počtu, pokud se pracovní stanice, ke které se uživatel může připojit k doméně.
2. Ověřte, že je cesta organizační jednotky správná a nezablokuje připojení nových počítačů k doméně.

Obecné kroky pro řešení potíží s ověřováním připojení k doméně

1. Vygenerujte nový virtuální počítač spuštěný ve Windows Serveru 2022 nebo 2019 ve zvolené podsíti pro vytvoření spravované instance SCOM. Přihlaste se k virtuálnímu počítači a nakonfigurujte jeho server DNS tak, aby používal stejnou IP adresu DNS, která byla použita při vytváření spravované instance SCOM.

2. Můžete postupovat buď podle podrobných pokynů uvedených níže, nebo pokud znáte PowerShell, spusťte konkrétní kontrolu volanou Invoke-ValidateDomainJoin ve skriptu ScomValidation.ps1 . Další informace o nezávislém spuštění ověřovacího skriptu na testovacím počítači najdete v obecných pokynech pro spuštění ověřovacího skriptu.

3. Otevřete prostředí PowerShell ISE v režimu správce a nastavte set-ExecutionPolicy na unrestricted.

4. Připojte virtuální počítač k doméně pomocí účtu domény, který se používá při vytváření spravované instance SCOM. Pokud chcete připojit doménu k počítači pomocí přihlašovacích údajů, spusťte následující příkaz:

   
   $domainName = "<domainname>"
   
   
   $domainJoinCredentials = New-Object pscredential -ArgumentList ("<username>", (ConvertTo-SecureString "password" -AsPlainText -Force))
   
   
   
   $ouPath = "<OU path>"
   if (![String]::IsNullOrWhiteSpace($ouPath)) {
   $domainJoinResult = Add-Computer -DomainName $domainName -Credential $domainJoinCredentials -OUPath $ouPath -Force -WarningAction SilentlyContinue -ErrorAction SilentlyContinue
   }
   else {
   $domainJoinResult = Add-Computer -DomainName $domainName -Credential $domainJoinCredentials -Force -WarningAction SilentlyContinue -ErrorAction SilentlyContinue
   }   
   

   Nahraďte uživatelské jméno, heslo, $domainName $ouPath správnými hodnotami.

   Po spuštění výše uvedeného příkazu spusťte následující příkaz a zkontrolujte, jestli se počítač úspěšně připojil k doméně:

   Get-WmiObject -Class Win32_ComputerSystem | Select-Object -ExpandProperty PartOfDomain
   

Přidružení statické IP adresy a plně kvalifikovaného názvu domény nástroje pro vyrovnávání zatížení

Problém: Testy nešlo spustit, protože se serverům nepodařilo připojit se k doméně

Řešení: Ujistěte se, že se počítače můžou připojit k doméně. Postupujte podle kroků pro řešení potíží v části Ověření připojení k doméně.

Problém: Název> DNS <DNS se nepovedlo přeložit

Překlad: Zadaný název DNS v záznamech DNS neexistuje. Zkontrolujte název DNS a ujistěte se, že je správně přidružený k zadané statické IP adrese.

Problém: Za předpokladu, že se statická IP <adresa> a název> DNS DNS <load Balanceru neshoduje

Řešení: Zkontrolujte záznamy DNS a zadejte správnou kombinaci názvu DNS nebo statické IP adresy. Další informace najdete v tématu Vytvoření statické IP adresy a konfigurace názvu DNS.

Obecné kroky pro řešení potíží s přidružením statické IP adresy a plně kvalifikovaného názvu domény nástroje pro vyrovnávání zatížení

1. Vygenerujte nový virtuální počítač spuštěný ve Windows Serveru 2022 nebo 2019 ve zvolené podsíti pro vytvoření spravované instance SCOM. Přihlaste se k virtuálnímu počítači a nakonfigurujte jeho server DNS tak, aby používal stejnou IP adresu DNS, která byla použita při vytváření spravované instance SCOM.

2. Můžete postupovat buď podle podrobných pokynů uvedených níže, nebo pokud znáte PowerShell, spusťte konkrétní kontrolu volanou Invoke-ValidateStaticIPAddressAndDnsname ve skriptu ScomValidation.ps1 . Další informace o nezávislém spuštění ověřovacího skriptu na testovacím počítači najdete v obecných pokynech pro spuštění ověřovacího skriptu.

3. Otevřete prostředí PowerShell ISE v režimu správce a nastavte set-ExecutionPolicy na unrestricted.

4. Připojte virtuální počítač k doméně pomocí účtu domény, který se používá při vytváření spravované instance SCOM. Pokud chcete připojit virtuální počítač k doméně, postupujte podle kroků uvedených v části Ověření připojení k doméně.

5. Získejte IP adresu a přidružený název DNS a spusťte následující příkazy, abyste zjistili, jestli se shodují. Přeložte název DNS a načtěte skutečnou IP adresu:

   $DNSRecord = Resolve-DnsName -Name $DNSName
   $ActualIP = $DNSRecord.IPAddress
   

   Pokud se název DNS nedá přeložit, ujistěte se, že je název DNS platný a přidružený ke skutečné IP adrese.

Ověření skupin počítačů

Problém: Test se nepovedlo spustit, protože se serverům nepodařilo připojit se k doméně

Řešení: Ujistěte se, že se počítače můžou připojit k doméně. Postupujte podle kroků pro řešení potíží uvedených v části Ověření připojení k doméně.

Problém: Skupina počítačů s názvem <> název skupiny počítačů nebyla ve vaší doméně nalezena.

Řešení: Ověřte existenci skupiny a zkontrolujte zadaný název nebo vytvořte nový, pokud ještě není vytvořen.

Problém: Název> skupiny počítačů skupiny počítačů vstupní skupiny <počítačů není spravován uživatelským uživatelským <jménem domény.>

Řešení: Přejděte do vlastností skupiny a nastavte tohoto uživatele jako správce. Další informace najdete v tématu Vytvoření a konfigurace skupiny počítačů.

Problém: Uživatelské jméno domény správce <názvu skupiny> počítačů vstupní skupiny <počítačů nemá potřebná oprávnění ke správě členství ve> skupině

Řešení: Přejděte do vlastností skupiny a zaškrtněte políčko Spravovat může aktualizovat seznam členství. Další informace najdete v tématu Vytvoření a konfigurace skupiny počítačů.

Obecné kroky pro řešení potíží s ověřováním skupin počítačů

1. Vygenerujte nový virtuální počítač spuštěný ve Windows Serveru 2022 nebo 2019 ve zvolené podsíti pro vytvoření spravované instance SCOM. Přihlaste se k virtuálnímu počítači a nakonfigurujte jeho server DNS tak, aby používal stejnou IP adresu DNS, která byla použita při vytváření spravované instance SCOM.

2. Můžete postupovat buď podle podrobných pokynů uvedených níže, nebo pokud znáte PowerShell, spusťte konkrétní kontrolu volanou Invoke-ValidateComputerGroup ve skriptu ScomValidation.ps1 . Další informace o nezávislém spuštění ověřovacího skriptu na testovacím počítači najdete v obecných pokynech pro spuštění ověřovacího skriptu.

3. Připojte virtuální počítač k doméně pomocí účtu domény, který se používá při vytváření spravované instance SCOM. Pokud chcete připojit virtuální počítač k doméně, postupujte podle kroků uvedených v části Ověření připojení k doméně.

4. Otevřete prostředí PowerShell ISE v režimu správce a nastavte set-ExecutionPolicy na unrestricted.

5. Spuštěním následujícího příkazu naimportujte moduly:

   Add-WindowsFeature RSAT-AD-PowerShell -ErrorAction SilentlyContinue
   Add-WindowsFeature GPMC -ErrorAction SilentlyContinue
   

6. Pokud chcete ověřit, jestli je virtuální počítač připojený k doméně, spusťte následující příkaz:

   Get-WmiObject -Class Win32_ComputerSystem | Select-Object -ExpandProperty PartOfDomain
   

7. Pokud chcete ověřit existenci domény a pokud je aktuální počítač již připojený k doméně, spusťte následující příkaz:

   $domainJoinCredentials = New-Object pscredential -ArgumentList ("<username>", (ConvertTo-SecureString "password" -AsPlainText -Force)) 
   $Domain = Get-ADDomain -Current LocalComputer -Credential $domainUserCredentials
   

   password Nahraďte $usernamepříslušné hodnoty.

8. Pokud chcete ověřit existenci uživatele v doméně, spusťte následující příkaz:

   $DomainUser = Get-ADUser -Identity $username -Credential $domainUserCredentials
   

   Nahradit $username, $domainUserCredentials s příslušnými hodnotami

9. Pokud chcete ověřit existenci skupiny počítačů v doméně, spusťte následující příkaz:

   $ComputerGroup = Get-ADGroup -Identity $computerGroupName -Properties ManagedBy,DistinguishedName -Credential $domainUserCredentials
   

   $domainUserCredentials Nahraďte $computerGroupNamepříslušné hodnoty.

10. Pokud uživatel a skupina počítačů existují, určete, jestli je uživatel správcem skupiny počítačů.

    Import-Module ActiveDirectory
      	$DomainDN = $Domain.DistinguishedName
      $GroupDN = $ComputerGroup.DistinguishedName
     $RightsGuid = [GUID](Get-ItemProperty "AD:\CN=Self-Membership,CN=Extended-Rights,CN=Configuration,$DomainDN" -Name rightsGuid -Credential $domainUserCredentials | Select-Object -ExpandProperty rightsGuid)
    
      # Run Get ACL under the give credentials
      $job = Start-Job -ScriptBlock {
          param (
              [Parameter(Mandatory = $true)]
              [string] $GroupDN,
              [Parameter(Mandatory = $true)]
              [GUID] $RightsGuid
          )
    
      Import-Module ActiveDirectory
      $AclRule = (Get-Acl -Path "AD:\$GroupDN").GetAccessRules($true,$true,[System.Security.Principal.SecurityIdentifier]) |  Where-Object {($_.ObjectType -eq $RightsGuid) -and ($_.ActiveDirectoryRights -like '*WriteProperty*')}
          return $AclRule
    
      } -ArgumentList $GroupDN, $RightsGuid -Credential $domainUserCredentials
    
      $timeoutSeconds = 20
      $jobResult = Wait-Job $job -Timeout $timeoutSeconds
    
      # Job did not complete within the timeout
      if ($null -eq $jobResult) {
          Write-Host "Checking permissions, timeout after 10 seconds."
          Remove-Job $job -Force
      } else {
          # Job completed within the timeout
          $AclRule = Receive-Job $job
          Remove-Job $job -Force
      }
    
      $managerCanUpdateMembership = $false
      if (($null -ne $AclRule) -and ($AclRule.AccessControlType -eq 'Allow') -and ($AclRule.IdentityReference -eq $DomainUser.SID)) {
          $managerCanUpdateMembership = $true
    
    

    Pokud managerCanUpdateMembership je hodnota True, uživatel domény má oprávnění k aktualizaci členství ve skupině počítačů. Pokud managerCanUpdateMembership je false, udělte skupině počítačů oprávnění ke správě uživatele domény.

Ověření účtu gMSA

Problém: Test se nespustí, protože se serverům nepodařilo připojit se k doméně

Řešení: Ujistěte se, že se počítače můžou připojit k doméně. Postupujte podle kroků pro řešení potíží uvedených v části Ověření připojení k doméně.

Problém: Skupina počítačů s názvem <> název skupiny počítačů nebyla ve vaší doméně nalezena. Členové této skupiny musí být schopni načíst heslo gMSA.

Řešení: Ověřte existenci skupiny a zkontrolujte zadaný název.

Problém: gMSA s doménou názvu <gMSA> se nepodařilo najít ve vaší doméně

Řešení: Ověřte existenci účtu gMSA a zkontrolujte zadaný název nebo vytvořte nový, pokud ještě nebyl vytvořen.

Problém: Doména gMSA gMSA <> není povolená

Řešení: Povolte ho pomocí následujícího příkazu:

Set-ADServiceAccount -Identity <domain gMSA> -Enabled $true

Problém: Doména gMSA gMSA <> musí mít název hostitele DNS nastavený na <název DNS.>

Řešení: GMSA nemá správně nastavenou DNSHostName vlastnost. DNSHostName Nastavte vlastnost pomocí následujícího příkazu:

Set-ADServiceAccount -Identity <domain gMSA> -DNSHostName <DNS Name>

Problém: Název účtu Sam pro doménu gMSA gMSA <> překračuje limit 15 znaků.

Řešení: Nastavte SamAccountName pomocí následujícího příkazu:

Set-ADServiceAccount -Identity <domain gMSA> -SamAccountName <shortname$>

Problém: <Název> skupiny počítačů musí být nastaven jako principalsAllowedToRetrieveManagedPassword pro doménu gMSA <gMSA>

Řešení: GMSA nenastavil PrincipalsAllowedToRetrieveManagedPassword správně. Nastavte PrincipalsAllowedToRetrieveManagedPassword pomocí následujícího příkazu:

Set-ADServiceAccount -Identity <domain gMSA> - PrincipalsAllowedToRetrieveManagedPassword <computer group name>

Problém: Hlavní názvy služby (SPN) nebyly správně nastaveny pro doménu gMSA <gMSA>

Řešení: GMSA nemá nastaveny správné hlavní názvy služeb. Pomocí následujícího příkazu nastavte hlavní názvy služeb:

Set-ADServiceAccount -Identity <domain gMSA> -ServicePrincipalNames <set of SPNs>

Obecné kroky pro řešení potíží s ověřováním účtů gMSA

1. Vygenerujte nový virtuální počítač spuštěný ve Windows Serveru 2022 nebo 2019 ve zvolené podsíti pro vytvoření spravované instance SCOM. Přihlaste se k virtuálnímu počítači a nakonfigurujte jeho server DNS tak, aby používal stejnou IP adresu DNS, která byla použita při vytváření spravované instance SCOM.

2. Můžete postupovat buď podle podrobných pokynů uvedených níže, nebo pokud znáte PowerShell, spusťte konkrétní kontrolu volanou Invoke-ValidategMSAAccount ve skriptu ScomValidation.ps1 . Další informace o nezávislém spuštění ověřovacího skriptu na testovacím počítači najdete v obecných pokynech pro spuštění ověřovacího skriptu.

3. Připojte virtuální počítač k doméně pomocí účtu domény, který se používá při vytváření spravované instance SCOM. Pokud chcete připojit virtuální počítač k doméně, postupujte podle kroků uvedených v části Ověření připojení k doméně.

4. Otevřete prostředí PowerShell ISE v režimu správce a nastavte set-ExecutionPolicy na unrestricted.

5. Spuštěním následujícího příkazu naimportujte moduly:

   Add-WindowsFeature RSAT-AD-PowerShell -ErrorAction SilentlyContinue
   Add-WindowsFeature GPMC -ErrorAction SilentlyContinue
   

6. Pokud chcete ověřit, že se servery úspěšně připojily k doméně, spusťte následující příkaz:

   (Get-WmiObject -Class Win32_ComputerSystem).PartOfDomain
   

7. Pokud chcete zkontrolovat existenci skupiny počítačů, spusťte následující příkaz:

   $Credentials = New-Object pscredential -ArgumentList ("<username>", (ConvertTo-SecureString "password" -AsPlainText -Force))
   $adGroup = Get-ADGroup -Identity $computerGroupName -Properties ManagedBy,DistinguishedName -Credential $Credentials
   

   Nahraďte uživatelské jméno, heslo a název_skupiny_počítače příslušnými hodnotami.

8. Pokud chcete zkontrolovat existenci účtu gMSA, spusťte následující příkaz:

   $adServiceAccount = Get-ADServiceAccount -Identity gMSAAccountName -Properties DNSHostName,Enabled,PrincipalsAllowedToRetrieveManagedPassword,SamAccountName,ServicePrincipalNames -Credential $Credentials
   

9. Pokud chcete ověřit vlastnosti účtu gMSA, zkontrolujte, jestli je povolený účet gMSA:

   (Get-ADServiceAccount -Identity <GmsaAccount>).Enabled
   

   Pokud příkaz vrátí hodnotu False, povolte účet v doméně.

10. Pokud chcete ověřit, že název hostitele DNS účtu gMSA odpovídá zadanému názvu DNS (název DNS nástroje pro vyrovnávání zatížení), spusťte následující příkazy:

    (Get-ADServiceAccount -Identity <GmsaAccount>).DNSHostName
    

    Pokud příkaz nevrátí očekávaný název DNS, aktualizujte název hostitele DNS gMsaAccount na název DNS nástroje pro vyrovnávání zatížení.

11. Ujistěte se, že název účtu Sam pro účet gMSA nepřekračuje limit 15 znaků:

    (Get-ADServiceAccount -Identity <GmsaAccount>).SamAccountName.Length
    

12. PrincipalsAllowedToRetrieveManagedPassword Pokud chcete ověřit vlastnost, spusťte následující příkazy:

    Zkontrolujte, jestli je zadaná skupina počítačů nastavená jako principalsAllowedToRetrieveManagedPassword pro účet gMSA:

    (Get-ADServiceAccount -Identity <GmsaAccount>).PrincipalsAllowedToRetrieveManagedPassword -contains (Get-ADGroup -Identity <ComputerGroupName>).DistinguishedName
    

    Nahraďte a ComputerGroupName nahraďte gMSAAccount příslušné hodnoty.

13. Pokud chcete ověřit hlavní názvy služeb (SPN) pro účet gMSA, spusťte následující příkaz:

    $CorrectSPNs = @("MSOMSdkSvc/$dnsHostName", "MSOMSdkSvc/$dnsName", "MSOMHSvc/$dnsHostName", "MSOMHSvc/$dnsName")
    (Get-ADServiceAccount -Identity <GmsaAccount>).ServicePrincipalNames
    

    Zkontrolujte, jestli jsou ve výsledcích správné hlavní názvy služby. Nahraďte $dnsName názvem DNS nástroje pro vyrovnávání zatížení zadaným při vytváření spravované instance SCOM. Nahraďte $dnsHostName krátkým názvem DNS nástroje pro vyrovnávání zatížení. Například: MSOMHSvc/ContosoLB.domain.com, MSOMHSvc/ContosoLB, MSOMSdkSvc/ContosoLB.domain.com a MSOMSdkSvc/ContosoLB jsou hlavní názvy služeb.

Ověření zásad skupiny

Důležité

Pokud chcete opravit zásady objektů zásad služby Active Directory, spolupracujte se správcem služby Active Directory a vylučte system Center Operations Manager z následujících zásad:

• Objekty zásad skupiny, které upravují nebo přepisují konfigurace místní skupiny správců
• Objekty zásad skupiny, které deaktivují ověřování sítě.
• Vyhodnoťte objekty zásad skupiny, které brání vzdálenému přihlášení pro místní správce.

Problém: Tento test se nepovedlo spustit, protože servery se nepodařilo připojit k doméně.

Řešení: Ujistěte se, že se počítače připojují k doméně. Postupujte podle kroků pro řešení potíží v části Ověření připojení k doméně.

Problém: gMSA s doménou názvu <gMSA> se nepodařilo najít ve vaší doméně. Tento účet musí být místním správcem na serveru.

Řešení: Ověřte existenci účtu a ujistěte se, že je uživatel gMSA a doména součástí místní skupiny správců.

Problém: Uživatelské jméno> domény účtů <a <doména gMSA> se nedaly přidat do místní skupiny Administrators na testovacích serverech pro správu nebo se po aktualizaci zásad skupiny neuchovávaly ve skupině.

Řešení: Ujistěte se, že zadané uživatelské jméno domény a vstupy gMSA jsou správné, včetně úplného názvu (doména\účet). Zkontrolujte také, jestli na testovacím počítači nejsou nějaké zásady skupiny, které přepisují místní skupinu Administrators kvůli zásadám vytvořeným na úrovni organizační jednotky nebo domény. GMSA a uživatel domény musí být součástí místní skupiny správců, aby spravovaná instance SCOM fungovala. Počítače spravované instance SCOM musí být vyloučené z jakýchkoli zásad, které přepisují místní skupinu správců (pracujete se správcem AD).

Problém: Spravovaná instance SCOM selhala

Příčina: Zásady skupiny ve vaší doméně (název: <název> zásad skupiny) přepisuje místní skupinu Administrators na testovacích serverech pro správu, a to buď v organizační jednotky obsahující servery, nebo kořen domény.

Řešení: Ujistěte se, že organizační jednotky pro servery pro správu spravované instance SCOM (<cesta> organizační jednotky) nejsou ovlivněné žádnými zásadami, které by skupinu přepsaly.

Obecné kroky pro řešení potíží s ověřováním zásad skupiny

1. Vygenerujte nový virtuální počítač spuštěný ve Windows Serveru 2022 nebo 2019 ve zvolené podsíti pro vytvoření spravované instance SCOM. Přihlaste se k virtuálnímu počítači a nakonfigurujte jeho server DNS tak, aby používal stejnou IP adresu DNS, která byla použita při vytváření spravované instance SCOM.

2. Můžete postupovat buď podle podrobných pokynů uvedených níže, nebo pokud znáte PowerShell, spusťte konkrétní kontrolu volanou Invoke-ValidateLocalAdminOverideByGPO ve skriptu ScomValidation.ps1 . Další informace o nezávislém spuštění ověřovacího skriptu na testovacím počítači najdete v obecných pokynech pro spuštění ověřovacího skriptu.

3. Připojte virtuální počítač k doméně pomocí účtu domény, který se používá při vytváření spravované instance SCOM. Pokud chcete připojit virtuální počítač k doméně, postupujte podle kroků uvedených v části Ověření připojení k doméně.

4. Otevřete prostředí PowerShell ISE v režimu správce a nastavte set-ExecutionPolicy na unrestricted.

5. Spuštěním následujících příkazů naimportujte moduly:

   Add-WindowsFeature RSAT-AD-PowerShell -ErrorAction SilentlyContinue
   Add-WindowsFeature GPMC -ErrorAction SilentlyContinue
   

6. Pokud chcete ověřit, jestli se servery úspěšně připojily k doméně, spusťte následující příkaz:

   (Get-WmiObject -Class Win32_ComputerSystem).PartOfDomain
   

   Příkaz musí vrátit hodnotu True.

7. Pokud chcete zkontrolovat existenci účtu gMSA, spusťte následující příkaz:

   Get-ADServiceAccount -Identity <GmsaAccount>
   

8. Pokud chcete ověřit přítomnost uživatelských účtů v místní skupině Administrators, spusťte následující příkaz:

   $domainJoinCredentials = New-Object pscredential -ArgumentList ("<username>", (ConvertTo-SecureString "password" -AsPlainText -Force)) 
   $addToAdminResult = Add-LocalGroupMember -Group "Administrators" -Member $userName, $gMSAccount -ErrorAction SilentlyContinue 
   $gpUpdateResult = gpupdate /force 
   $LocalAdmins = Get-LocalGroupMember -Group 'Administrators' | Select-Object -ExpandProperty Name
   

   <UserName> Nahraďte hodnoty a <GmsaAccount> skutečnými hodnotami.

9. Pokud chcete zjistit podrobnosti o doméně a organizační jednotce, spusťte následující příkaz:

   Get-ADOrganizationalUnit -Filter "DistinguishedName -like '$ouPathDN'" -Properties CanonicalName -Credential $domainUserCredentials
   

   <Nahraďte OuPathDN> skutečnou cestou organizační jednotky.

10. Pokud chcete získat sestavu objektu zásad skupiny (objekt zásad skupiny) z domény a zkontrolovat přepsání zásad v místní skupině Administrators, spusťte následující příkaz:

     [xml]$gpoReport = Get-GPOReport -All -ReportType Xml -Domain <domain name>
     foreach ($GPO in $gpoReport.GPOS.GPO) {
         # Check if the GPO links to the entire domain, or the input OU if provided
         if (($GPO.LinksTo.SOMPath -eq $domainName) -or ($GPO.LinksTo.SOMPath -eq $ouPathCN)) {
             # Check if there is a policy overriding the Local Users and Groups
             if ($GPO.Computer.ExtensionData.Extension.LocalUsersAndGroups.Group) {
             $GroupPolicy = $GPO.Computer.ExtensionData.Extension.LocalUsersAndGroups.Group | Select-Object @{Name='RemoveUsers';Expression={$_.Properties.deleteAllUsers}},@{Name='RemoveGroups';Expression={$_.Properties.deleteAllGroups}},@{Name='GroupName';Expression={$_.Properties.groupName}}
             # Check if the policy is acting on the BUILTIN\Administrators group, and whether it is removing other users or groups
             if (($GroupPolicy.groupName -eq "Administrators (built-in)") -and (($GroupPolicy.RemoveUsers -eq 1) -or ($GroupPolicy.RemoveGroups -eq 1))) {
              $overridingPolicyFound = $true
              $overridingPolicyName = $GPO.Name
                 }
             }
         }
     }
     if($overridingPolicyFound) {
      Write-Warning "Validation failed. A group policy in your domain (name: $overridingPolicyName) is overriding the local Administrators group on this machine. This will cause SCOM MI installation to fail. Please ensure that the OU for SCOM MI Management Servers is not affected by this policy"
     }
     else {
      Write-Output "Validation suceeded. No group policy found in your domain which overrides local Administrators. "
     }
    

Pokud spuštění skriptu zobrazí upozornění jako Ověření se nezdařilo, existuje zásada (název jako ve zprávě upozornění), která přepíše místní skupinu správců. Obraťte se na správce služby Active Directory a vylučte ze zásad server pro správu nástroje System Center Operations Manager.