Condividi tramite

Risolvere gli errori comunemente rilevati durante la convalida dei parametri di input

  • Articolo

Questo articolo descrive gli errori che possono verificarsi durante la convalida dei parametri di input e come risolverli.

Se si verificano problemi durante la creazione di parametri locali, usare questo script per assistenza.

Questo script è progettato per aiutare nella risoluzione dei problemi relativi alla creazione di parametri locali. Accedere allo script e usarne le funzionalità per risolvere eventuali difficoltà che possono verificarsi durante la creazione di parametri locali.

Per eseguire lo script, seguire questa procedura:

  1. Scaricare lo script ed eseguirlo con l'opzione -Help per ottenere i parametri.
  2. Accedere con le credenziali di dominio a un computer aggiunto a un dominio. Il computer deve trovarsi in un dominio usato per istanza gestita SCOM. Dopo aver eseguito l'accesso, eseguire lo script con i parametri specificati.
  3. Se una convalida ha esito negativo, eseguire le azioni correttive suggerite dallo script ed eseguire di nuovo lo script fino a quando non supera tutte le convalide.
  4. Dopo aver completato tutte le convalide, usare gli stessi parametri usati nello script, ad esempio la creazione.

Controlli e dettagli della convalida

Convalida Descrizione
Controlli di convalida dell'input di Azure
Configurazione dei prerequisiti nel computer di test 1. Installare il modulo PowerShell di AD.
2. Installare il modulo PowerShell dei Criteri di gruppo.
Connettività Internet Verifica se l'accesso a Internet in uscita è disponibile nei server di test.
Connettività dell'istanza gestita di SQL Verifica se l'istanza gestita di SQL fornita è raggiungibile dalla rete in cui vengono creati i server di test.
Connettività del server DNS Controlla se l'indirizzo IP del server DNS specificato è raggiungibile e risolto in un server DNS valido.
Connettività del dominio Controlla se il nome di dominio specificato è raggiungibile e risolto in un dominio valido.
Convalida dell'aggiunta a un dominio Controlla se l'aggiunta a un dominio ha esito positivo usando il percorso dell'unità organizzativa e le credenziali di dominio specificati.
Associazione IP statico e nome di dominio completo del bilanciamento del carico Controlla se è stato creato un record DNS per l'IP statico fornito rispetto al nome DNS specificato.
Convalide dei gruppi di computer Controlla se il gruppo di computer specificato è gestito dall'utente di dominio fornito e il manager può aggiornare l'appartenenza al gruppo.
Convalide dell'account del servizio gestito del gruppo Controlla se l'account del servizio gestito del gruppo specificato:
- è abilitato.
- Il nome host DNS è impostato sul nome DNS specificato del bilanciamento del carico.
- Ha una lunghezza del nome dell'account SAM di 15 caratteri o inferiore.
- Ha i nomi dell'entità servizio corretti impostati.
La password può essere recuperata dai membri del gruppo di computer specificato.
Convalide di Criteri di gruppo Controlla se il dominio (o il percorso dell'unità organizzativa, che ospita i server di gestione) è interessato da eventuali criteri di gruppo, che modificheranno il gruppo Administrators locale.
Pulizia post-convalida Annullare l'accesso dal dominio.

Linee guida generali per l'esecuzione di script di convalida

Durante il processo di onboarding, viene eseguita una convalida nella fase/scheda di convalida. Se tutte le convalide hanno esito positivo, è possibile passare alla fase finale della creazione di istanza gestita SCOM. Tuttavia, se le convalide hanno esito negativo, non è possibile procedere con la creazione.

Nei casi in cui più convalide hanno esito negativo, l'approccio migliore è quello di affrontare tutti i problemi contemporaneamente eseguendo manualmente uno script di convalida in un computer di test.

Importante

Inizialmente, creare una nuova macchina virtuale Windows Server (2022/2019) di test nella stessa subnet selezionata per la creazione di istanza gestita SCOM. Successivamente, sia l'amministratore di AD che l'amministratore di rete possono usare singolarmente questa macchina virtuale per verificare l'efficacia delle rispettive modifiche. Questo approccio consente di risparmiare significativamente tempo investito nella comunicazione tra l'amministratore di AD e l'amministratore di rete.

Per eseguire lo script di convalida, seguire questa procedura:

  1. Generare una nuova macchina virtuale in esecuzione in Windows Server 2022 o 2019 all'interno della subnet scelta per la creazione di istanza gestita SCOM. Accedere alla macchina virtuale e configurare il server DNS in modo da usare lo stesso IP DNS usato durante la creazione dell'istanza gestita SCOM. Ad esempio, vedere di seguito:

    Screenshot delle proprietà.

  2. Scaricare ed estrarre lo script di convalida nella macchina virtuale di test. È costituito da cinque file:

    • ScomValidation.ps1
    • RunValidationAsSCOMAdmin.ps1
    • RunValidationAsActiveDirectoryAdmin.ps1
    • RunValidationAsNetworkAdmin.ps1
    • Readme.txt

  3. Seguire i passaggi indicati nel file Readme.txt per eseguire RunValidationAsSCOMAdmin.ps1. Assicurarsi di riempire il valore delle impostazioni in RunValidationAsSCOMAdmin.ps1 con i valori applicabili prima di eseguirlo.

    # $settings = @{
#   Configuration = @{
#         DomainName="test.com"                 
#         OuPath= "DC=test,DC=com"           
#         DNSServerIP = "190.36.1.55"           
#         UserName="test\testuser"              
#         Password = "password"                 
#         SqlDatabaseInstance= "test-sqlmi-instance.023a29518976.database.windows.net" 
#         ManagementServerGroupName= "ComputerMSG"      
#         GmsaAccount= "test\testgMSA$"
#         DnsName= "lbdsnname.test.com"
#         LoadBalancerIP = "10.88.78.200"
#     }
# }
# Note : Before running this script, please make sure you have provided all the parameters in the settings
$settings = @{
Configuration = @{
DomainName="<domain name>"
OuPath= "<OU path>"
DNSServerIP = "<DNS server IP>"
UserName="<domain user name>"
Password = "<domain user password>"
SqlDatabaseInstance= "<SQL MI Host name>"
ManagementServerGroupName= "<Computer Management server group name>"
GmsaAccount= "<GMSA account>"
DnsName= "<DNS name associated with the load balancer IP address>"
LoadBalancerIP = "<Load balancer IP address>"
}
}

  4. In generale, RunValidationAsSCOMAdmin.ps1 esegue tutte le convalide. Se si desidera eseguire un controllo specifico, aprire ScomValidation.ps1 e commentare tutti gli altri controlli, che si trovano alla fine del file. È anche possibile aggiungere un punto di interruzione nel controllo specifico per eseguire il debug del controllo e comprendere meglio i problemi.

        # Default mode is - SCOMAdmin, by default if mode is not passed then it will run all the validations  

    # adding all the checks to result set 

    try { 

        # Connectivity checks 

        $validationResults += Invoke-ValidateStorageConnectivity $settings 

        $results = ConvertTo-Json $validationResults -Compress 

         

        $validationResults += Invoke-ValidateSQLConnectivity $settings 

        $results = ConvertTo-Json $validationResults -Compress 

 

        $validationResults += Invoke-ValidateDnsIpAddress $settings 

        $results = ConvertTo-Json $validationResults -Compress 

 

        $validationResults += Invoke-ValidateDomainControllerConnectivity $settings 

        $results = ConvertTo-Json $validationResults -Compress 

 

        # Parameter validations 

        $validationResults += Invoke-ValidateDomainJoin $settings 

        $results = ConvertTo-Json $validationResults -Compress 

 

        $validationResults += Invoke-ValidateStaticIPAddressAndDnsname $settings 

        $results = ConvertTo-Json $validationResults -Compress 

 

        $validationResults += Invoke-ValidateComputerGroup $settings 

        $results = ConvertTo-Json $validationResults -Compress 

 

        $validationResults += Invoke-ValidategMSAAccount $settings 

        $results = ConvertTo-Json $validationResults -Compress 

             

        $validationResults += Invoke-ValidateLocalAdminOverideByGPO $settings 

        $results = ConvertTo-Json $validationResults -Compress 

    } 

    catch { 

        Write-Verbose -Verbose  $_ 

    }

  1. Lo script di convalida visualizza tutti i controlli di convalida e i rispettivi errori, che consentiranno di risolvere i problemi di convalida. Per una risoluzione rapida, eseguire lo script in PowerShell ISE con un punto di interruzione, che consente di velocizzare il processo di debug.

    Se tutti i controlli vengono superati correttamente, tornare alla pagina di onboarding e riavviare nuovamente il processo di onboarding.

Connettività Internet

Problema: l'accesso a Internet in uscita non esiste nei server di test

Causa: si verifica a causa di un IP del server DNS non corretto o di una configurazione della rete non corretta.

Risoluzione:

  1. Controllare l'IP del server DNS e assicurarsi che il server DNS sia operativo.
  2. Assicurarsi che la rete virtuale usata per la creazione dell'istanza gestita SCOM abbia la visibilità per il server DNS.

Problema: Non è possibile connettersi all'account di archiviazione per scaricare i bit del prodotto istanza gestita SCOM

Causa: si verifica a causa di un problema con l'accesso a Internet.

Risoluzione: verificare che la rete virtuale usata per la creazione dell'istanza gestita SCOM abbia accesso a Internet in uscita creando una macchina virtuale di test nella stessa subnet dell'istanza gestita SCOM e testare la connettività in uscita dalla macchina virtuale di test.

Problema: il test di connettività Internet non è riuscito. Gli endpoint obbligatori non sono raggiungibili dalla rete virtuale

Causa: si verifica a causa di un IP del server DNS non corretto o di una configurazione della rete non corretta.

Risoluzione:

  • Controllare l'IP del server DNS e assicurarsi che il server DNS sia operativo.

  • Assicurarsi che la rete virtuale usata per la creazione dell'istanza gestita SCOM abbia la visibilità per il server DNS.

  • Assicurarsi che l'istanza gestita SCOM abbia accesso a Internet in uscita e che il gruppo di sicurezza di rete/firewall sia configurato correttamente per consentire l'accesso agli endpoint necessari, come descritto in Requisiti del firewall.

Procedura generale per la risoluzione dei problemi relativi all'accesso a Internet

  1. Generare una nuova macchina virtuale in esecuzione su Windows Server 2022 o 2019 all'interno della subnet scelta per la creazione di istanza gestita SCOM. Accedere alla macchina virtuale e configurare il server DNS in modo da usare lo stesso IP DNS usato durante la creazione dell'istanza gestita SCOM.

  2. È possibile seguire le istruzioni dettagliate fornite di seguito oppure, se si ha familiarità con PowerShell, eseguire il controllo specifico chiamato Invoke-ValidateStorageConnectivity nello script ScomValidation.ps1. Per altre informazioni sull'esecuzione dello script di convalida in modo indipendente nel computer di test, vedere Linee guida generali per l'esecuzione dello script di convalida.

  3. Aprire PowerShell ISE in modalità di amministrazione e impostare Set-ExecutionPolicy su Senza restrizioni.

  4. Per controllare l'accesso a Internet, eseguire il comando seguente:

    Test-NetConnection www.microsoft.com -Port 80

    Questo comando verifica la connettività a www.microsoft.com sulla porta 80. In caso di errore, indica un problema con l'accesso a Internet in uscita.

  5. Per verificare le impostazioni DNS, eseguire il comando seguente:

    Get-DnsClientServerAddress

    Questo comando recupera gli indirizzi IP del server DNS configurati nel computer. Assicurarsi che le impostazioni DNS siano corrette e accessibili.

  6. Per controllare la configurazione della rete, eseguire il comando seguente:

    Get-NetIPConfiguration

    Questo comando visualizza i dettagli della configurazione della rete. Verificare che le impostazioni di rete siano accurate e corrispondano all'ambiente di rete.

Connettività dell'istanza gestita di SQL

Problema: l'accesso a Internet in uscita non esiste nei server di test

Causa: si verifica a causa di un IP del server DNS non corretto o di una configurazione della rete non corretta.

Risoluzione:

  1. Controllare l'IP del server DNS e assicurarsi che il server DNS sia operativo.
  2. Assicurarsi che la rete virtuale usata per la creazione dell'istanza gestita SCOM abbia la visibilità per il server DNS.

Problema: Impossibile configurare l'accesso del database per l'identità del servizio gestito in istanza gestita di SQL

Causa: si verifica quando l'identità del servizio gestito non è configurata correttamente per accedere all'istanza gestita di SQL.

Risoluzione: controllare se l'identità del servizio gestito è configurata come amministratore di Microsoft Entra nell'istanza gestita di SQL. Assicurarsi che le autorizzazioni Microsoft Entra ID necessarie siano fornite all'istanza gestita di SQL per il funzionamento dell'autenticazione dell'identità del servizio gestito.

Problema: Impossibile connettersi all'istanza gestita di SQL da questa istanza

Causa: si verifica quando la rete virtuale dell'istanza gestita di SQL non è delegata o non è stata sottoposta correttamente al peering con la rete virtuale dell'istanza gestita SCOM.

Risoluzione:

  1. Verificare che l'istanza gestita di SQL sia configurata correttamente.
  2. Assicurarsi che la rete virtuale usata per la creazione dell'istanza gestita SCOM abbia la visibilità per l'istanza gestita di SQL, sia nella stessa rete virtuale che nel peering reti virtuali.

Procedura generale per la risoluzione dei problemi relativi alla connettività dell'istanza gestita di SQL

  1. Generare una nuova macchina virtuale in esecuzione su Windows Server 2022 o 2019 all'interno della subnet scelta per la creazione di istanza gestita SCOM. Accedere alla macchina virtuale e configurare il server DNS in modo da usare lo stesso IP DNS usato durante la creazione dell'istanza gestita SCOM.

  2. È possibile seguire le istruzioni dettagliate fornite di seguito oppure, se si ha familiarità con PowerShell, eseguire il controllo specifico chiamato Invoke-ValidateSQLConnectivity nello script ScomValidation.ps1. Per altre informazioni sull'esecuzione dello script di convalida in modo indipendente nel computer di test, vedere Linee guida generali per l'esecuzione dello script di convalida.

  3. Aprire PowerShell ISE in modalità di amministrazione e impostare Set-ExecutionPolicy su Senza restrizioni.

  4. Per controllare l'accesso a Internet in uscita, eseguire il comando seguente:

    Test-NetConnection -ComputerName "www.microsoft.com" -Port 80

    Questo comando verifica l'accesso a Internet in uscita tentando di stabilire una connessione a www.microsoft.com sulla porta 80. Se la connessione fallisce, indica un potenziale problema con l'accesso a Internet.

  5. Per verificare le impostazioni DNS e la configurazione della rete, verificare che gli indirizzi IP del server DNS siano configurati correttamente e convalidare le impostazioni di configurazione della rete nel computer in cui viene eseguita la convalida.

  6. Per testare la connessione dell'istanza gestita di SQL, eseguire il comando seguente:

    Test-NetConnection -ComputerName $sqlMiName -Port 1433

    Sostituire $sqlMiName con il nome del nome host dell'istanza gestita di SQL.

    Questo comando verifica la connessione all'istanza gestita di SQL. Se la connessione riesce, indica che l'istanza gestita di SQL è raggiungibile.

Connettività del server DNS

Problema: l'IP DNS fornito (<IP DNS>) non è corretto o il server DNS non è raggiungibile

Risoluzione: controllare l'IP del server DNS e assicurarsi che il server DNS sia operativo.

Risoluzione dei problemi generali per la connettività del server DNS

  1. Generare una nuova macchina virtuale in esecuzione su Windows Server 2022 o 2019 all'interno della subnet scelta per la creazione di istanza gestita SCOM. Accedere alla macchina virtuale e configurare il server DNS in modo da usare lo stesso IP DNS usato durante la creazione dell'istanza gestita SCOM.

  2. È possibile seguire le istruzioni dettagliate fornite di seguito oppure, se si ha familiarità con PowerShell, eseguire il controllo specifico chiamato Invoke-ValidateDnsIpAddress nello script ScomValidation.ps1. Per altre informazioni sull'esecuzione dello script di convalida in modo indipendente nel computer di test, vedere Linee guida generali per l'esecuzione dello script di convalida.

  3. Aprire PowerShell ISE in modalità di amministrazione e impostare Set-ExecutionPolicy su Senza restrizioni.

  4. Per controllare la risoluzione DNS per l'indirizzo IP specificato, eseguire il comando seguente:

    Resolve-DnsName -Name $ipAddress -IssueAction SilentlyContinue

    Sostituire $ipAddress con l'indirizzo IP da convalidare.

    Questo comando controlla la risoluzione DNS per l'indirizzo IP specificato. Se il comando non restituisce alcun risultato o genera un errore, indica un potenziale problema con la risoluzione DNS.

  5. Per verificare la connettività di rete all'indirizzo IP, eseguire il comando seguente:

    Test-NetConnection -ComputerName $ipAddress -Port 80

    Sostituire $ipAddress con l'indirizzo IP da testare.

    Questo comando controlla la connettività di rete all'indirizzo IP specificato sulla porta 80. Se la connessione fallisce, suggerisce un problema di connettività di rete.

Connettività del dominio

Problema: il controller di dominio per il >nome di dominio< non è raggiungibile da questa rete o la porta non è aperta in almeno un controller di dominio

Causa: si verifica a causa di un problema con l'IP del server DNS specificato o con la configurazione della rete.

Risoluzione:

  1. Controllare l'IP del server DNS e assicurarsi che il server DNS sia operativo.
  2. Assicurarsi che la risoluzione dei nomi di dominio sia indirizzata correttamente al controller di dominio designato e configurato per istanza gestita di Azure o SCOM. Verificare che il controller di dominio sia elencato nella parte superiore tra i controller di dominio risolti. Se la risoluzione viene indirizzata a server del controller di dominio diversi, indica un problema con la risoluzione del dominio di AD.
  3. Controllare il nome di dominio e assicurarsi che il controller di dominio configurato per istanza gestita di Azure e SCOM sia operativo.

    Nota

    Le porte 9389, 389/636, 88, 3268/3269, 135, 445 devono essere aperte nel controller di dominio configurato per istanza gestita di Azure o SCOM e tutti i servizi nel controller di dominio devono essere in esecuzione.

Procedura generale per la risoluzione dei problemi relativi alla connettività del dominio

  1. Generare una nuova macchina virtuale in esecuzione su Windows Server 2022 o 2019 all'interno della subnet scelta per la creazione di istanza gestita SCOM. Accedere alla macchina virtuale e configurare il server DNS in modo da usare lo stesso IP DNS usato durante la creazione dell'istanza gestita SCOM.

  2. È possibile seguire le istruzioni dettagliate fornite di seguito oppure, se si ha familiarità con PowerShell, eseguire il controllo specifico chiamato Invoke-ValidateDomainControllerConnectivity nello script ScomValidation.ps1. Per altre informazioni sull'esecuzione dello script di convalida in modo indipendente nel computer di test, vedere Linee guida generali per l'esecuzione dello script di convalida.

  3. Aprire PowerShell ISE in modalità di amministrazione e impostare Set-ExecutionPolicy su Senza restrizioni.

  4. Per verificare la raggiungibilità del controller di dominio, eseguire il comando seguente:

    Resolve-DnsName -Name $domainName

    Sostituire $domainName con il nome del dominio che si vuole testare.

    Assicurarsi che la risoluzione dei nomi di dominio sia indirizzata correttamente al controller di dominio designato e configurato per istanza gestita di Azure o SCOM. Verificare che il controller di dominio sia elencato nella parte superiore tra i controller di dominio risolti. Se la risoluzione viene indirizzata a server del controller di dominio diversi, indica un problema con la risoluzione del dominio di AD.

  5. Per verificare le impostazioni del server DNS:

    • Assicurarsi che le impostazioni del server DNS nel computer che esegue la convalida siano configurate correttamente.
    • Verificare se gli indirizzi IP del server DNS sono accurati e accessibili.

  6. Per convalidare la configurazione della rete:

    • Verificare le impostazioni di configurazione della rete nel computer in cui viene eseguita la convalida.
    • Assicurarsi che il computer sia connesso alla rete corretta e disponga delle impostazioni di rete necessarie per comunicare con il controller di dominio.

  7. Per testare la porta necessaria nel controller di dominio, eseguire il comando seguente:

    Test-NetConnection -ComputerName $domainName -Port $portToCheck

    Sostituire $domainName con il nome del dominio che si vuole testare e $portToCheck con ogni porta del numero di elenco seguente:

    • 389/636
    • 88
    • 3268/3269
    • 135
    • 445

    Eseguire il comando fornito per tutte le porte precedenti.

    Questo comando controlla se la porta specificata è aperta nel controller di dominio designato e configurato per la creazione di istanza gestita di Azure o SCOM. Se il comando mostra una connessione riuscita, indica che le porte necessarie sono aperte.

Convalida dell'aggiunta a un dominio

Problema: I server di gestione dei test non sono riusciti ad aggiungere il dominio

Causa: si verifica a causa di un percorso di unità organizzativa non corretto, credenziali non corrette o un problema nella connettività di rete.

Risoluzione:

  1. Controllare le credenziali create nell'insieme di credenziali delle chiavi. Il nome utente e il segreto password devono riflettere il nome utente e il formato corretti del valore del nome utente devono essere dominio\nome utente e password, che dispongono delle autorizzazioni per aggiungere un computer al dominio. Per impostazione predefinita, gli account utente possono aggiungere al dominio solo 10 computer. Per configurare, vedere Limite predefinito al numero di workstation che un utente può aggiungere al dominio.
  2. Verificare che il percorso dell'unità organizzativa sia corretto e non impedisca ai nuovi computer di aggiungere il dominio.

Procedura di risoluzione dei problemi generale per la convalida dell'aggiunta a un dominio

  1. Generare una nuova macchina virtuale in esecuzione su Windows Server 2022 o 2019 all'interno della subnet scelta per la creazione di istanza gestita SCOM. Accedere alla macchina virtuale e configurare il server DNS in modo da usare lo stesso IP DNS usato durante la creazione dell'istanza gestita SCOM.

  2. È possibile seguire le istruzioni dettagliate fornite di seguito oppure, se si ha familiarità con PowerShell, eseguire il controllo specifico chiamato Invoke-ValidateDomainJoin nello script ScomValidation.ps1. Per altre informazioni sull'esecuzione dello script di convalida in modo indipendente nel computer di test, vedere Linee guida generali per l'esecuzione dello script di convalida.

  3. Aprire PowerShell ISE in modalità di amministrazione e impostare Set-ExecutionPolicy su Senza restrizioni.

  4. Aggiungere la macchina virtuale a un dominio usando l'account di dominio usato nella creazione dell'istanza gestita SCOM. Per aggiungere il dominio a un computer usando le credenziali, eseguire il comando seguente:

    
$domainName = "<domainname>"


$domainJoinCredentials = New-Object pscredential -ArgumentList ("<username>", (ConvertTo-SecureString "password" -AsPlainText -Force))



$ouPath = "<OU path>"
if (![String]::IsNullOrWhiteSpace($ouPath)) {
$domainJoinResult = Add-Computer -DomainName $domainName -Credential $domainJoinCredentials -OUPath $ouPath -Force -WarningAction SilentlyContinue -ErrorAction SilentlyContinue
}
else {
$domainJoinResult = Add-Computer -DomainName $domainName -Credential $domainJoinCredentials -Force -WarningAction SilentlyContinue -ErrorAction SilentlyContinue
}

    Sostituire nome utente, password, $domainName, $ouPath con i valori corretti.

    Dopo aver eseguito il comando precedente, continuare con il comando seguente per verificare se il computer è stato aggiunto correttamente al dominio:

    Get-WmiObject -Class Win32_ComputerSystem | Select-Object -ExpandProperty PartOfDomain

Associazione IP statico e nome di dominio completo del bilanciamento del carico

Problema: i test non sono stati eseguiti perché i server non sono riusciti ad aggiungere il dominio

Risoluzione: assicurarsi che i computer possano aggiungere il dominio. Seguire la procedura di risoluzione dei problemi nella sezione Convalida dell'aggiunta a un dominio.

Problema: Non è possibile risolvere il nome DNS del <nome DNS>

Risoluzione: il nome DNS specificato non esiste nei record DNS. Controllare il nome DNS e assicurarsi che sia associato correttamente all'indirizzo IP statico specificato.

Problema: l'IP statico specificato <IP statico> e il <nome DNS>del DNS di Load Balancer non corrispondono

Risoluzione: controllare i record DNS e specificare la combinazione nome DNS/IP statico corretta. Per altre informazioni, vedere Creare un indirizzo IP statico e configurare il nome DNS.

Procedura di risoluzione dei problemi generale per l'associazione IP statico e nome di dominio completo del bilanciamento del carico

  1. Generare una nuova macchina virtuale in esecuzione su Windows Server 2022 o 2019 all'interno della subnet scelta per la creazione di istanza gestita SCOM. Accedere alla macchina virtuale e configurare il server DNS in modo da usare lo stesso IP DNS usato durante la creazione dell'istanza gestita SCOM.

  2. È possibile seguire le istruzioni dettagliate fornite di seguito oppure, se si ha familiarità con PowerShell, eseguire il controllo specifico chiamato Invoke-ValidateStaticIPAddressAndDnsname nello script ScomValidation.ps1. Per altre informazioni sull'esecuzione dello script di convalida in modo indipendente nel computer di test, vedere Linee guida generali per l'esecuzione dello script di convalida.

  3. Aprire PowerShell ISE in modalità di amministrazione e impostare Set-ExecutionPolicy su Senza restrizioni.

  4. Aggiungere la macchina virtuale a un dominio usando l'account di dominio usato nella creazione dell'istanza gestita SCOM. Per aggiungere la macchina virtuale al dominio, seguire la procedura descritta nella sezione Convalida dell'aggiunta a un dominio.

  5. Ottenere l'indirizzo IP e il nome DNS associato ed eseguire i comandi seguenti per verificare se corrispondono. Risolvere il nome DNS e recuperare l'indirizzo IP effettivo:

    $DNSRecord = Resolve-DnsName -Name $DNSName
$ActualIP = $DNSRecord.IPAddress

    Se il nome DNS non può essere risolto, assicurarsi che il nome DNS sia valido e associato all'indirizzo IP effettivo.

Convalide dei gruppi di computer

Problema: Impossibile eseguire il test perché i server non sono riusciti ad aggiungere il dominio

Risoluzione: assicurarsi che i computer possano aggiungere il dominio. Seguire la procedura di risoluzione dei problemi specificata nella sezione Convalida dell'aggiunta a un dominio.

Problema: Impossibile trovare il gruppo di computer con il nome <nome del gruppo di computer> nel dominio

Risoluzione: verificare l'esistenza del gruppo e controllare il nome specificato o crearne uno nuovo, se non è già stato creato.

Problema: il gruppo di computer di input <nome del gruppo di computer> non è gestito dall'utente <nome utente del dominio>

Risoluzione: passare alle proprietà del gruppo e impostare l'utente come manager. Per altre informazioni, vedere Creare e configurare un gruppo di computer.

Problema: il manager <nome utente del dominio> del gruppo di computer di input <nome gruppo di computer> non dispone delle autorizzazioni necessarie per gestire l'appartenenza al gruppo

Risoluzione: passare a Proprietà del gruppo e selezionare la casella di controllo Il manager può aggiornare l'elenco di appartenenza. Per altre informazioni, vedere Creare e configurare un gruppo di computer.

Procedura di risoluzione dei problemi generale per le Convalide dei gruppi di computer

  1. Generare una nuova macchina virtuale in esecuzione su Windows Server 2022 o 2019 all'interno della subnet scelta per la creazione di istanza gestita SCOM. Accedere alla macchina virtuale e configurare il server DNS in modo da usare lo stesso IP DNS usato durante la creazione dell'istanza gestita SCOM.

  2. È possibile seguire le istruzioni dettagliate fornite di seguito oppure, se si ha familiarità con PowerShell, eseguire il controllo specifico chiamato Invoke-ValidateComputerGroup nello script ScomValidation.ps1. Per altre informazioni sull'esecuzione dello script di convalida in modo indipendente nel computer di test, vedere Linee guida generali per l'esecuzione dello script di convalida.

  3. Aggiungere la macchina virtuale a un dominio usando l'account di dominio usato nella creazione dell'istanza gestita SCOM. Per aggiungere la macchina virtuale al dominio, seguire la procedura descritta nella sezione Convalida dell'aggiunta a un dominio.

  4. Aprire PowerShell ISE in modalità di amministrazione e impostare Set-ExecutionPolicy su Senza restrizioni.

  5. Eseguire il comando seguente per importare i moduli:

    Add-WindowsFeature RSAT-AD-PowerShell -ErrorAction SilentlyContinue
Add-WindowsFeature GPMC -ErrorAction SilentlyContinue

  6. Per verificare se la macchina virtuale è aggiunta al dominio, eseguire il comando seguente:

    Get-WmiObject -Class Win32_ComputerSystem | Select-Object -ExpandProperty PartOfDomain

  7. Per verificare l'esistenza del dominio e se il computer corrente è già stato aggiunto al dominio, eseguire il comando seguente:

    $domainJoinCredentials = New-Object pscredential -ArgumentList ("<username>", (ConvertTo-SecureString "password" -AsPlainText -Force)) 
$Domain = Get-ADDomain -Current LocalComputer -Credential $domainUserCredentials

    Sostituire $username, password con i valori applicabili.

  8. Per verificare l'esistenza dell'utente nel dominio, eseguire il comando seguente:

    $DomainUser = Get-ADUser -Identity $username -Credential $domainUserCredentials

    Sostituire $username, $domainUserCredentials con i valori applicabili

  9. Per verificare l'esistenza del gruppo di computer nel dominio, eseguire il comando seguente:

    $ComputerGroup = Get-ADGroup -Identity $computerGroupName -Properties ManagedBy,DistinguishedName -Credential $domainUserCredentials

    Sostituire $computerGroupName, $domainUserCredentials con i valori applicabili.

  10. Se l'utente e il gruppo di computer esistono, determinare se l'utente è il responsabile del gruppo di computer.

    Import-Module ActiveDirectory
  	$DomainDN = $Domain.DistinguishedName
  $GroupDN = $ComputerGroup.DistinguishedName
 $RightsGuid = [GUID](Get-ItemProperty "AD:\CN=Self-Membership,CN=Extended-Rights,CN=Configuration,$DomainDN" -Name rightsGuid -Credential $domainUserCredentials | Select-Object -ExpandProperty rightsGuid)

  # Run Get ACL under the give credentials
  $job = Start-Job -ScriptBlock {
      param (
          [Parameter(Mandatory = $true)]
          [string] $GroupDN,
          [Parameter(Mandatory = $true)]
          [GUID] $RightsGuid
      )

  Import-Module ActiveDirectory
  $AclRule = (Get-Acl -Path "AD:\$GroupDN").GetAccessRules($true,$true,[System.Security.Principal.SecurityIdentifier]) |  Where-Object {($_.ObjectType -eq $RightsGuid) -and ($_.ActiveDirectoryRights -like '*WriteProperty*')}
      return $AclRule

  } -ArgumentList $GroupDN, $RightsGuid -Credential $domainUserCredentials

  $timeoutSeconds = 20
  $jobResult = Wait-Job $job -Timeout $timeoutSeconds

  # Job did not complete within the timeout
  if ($null -eq $jobResult) {
      Write-Host "Checking permissions, timeout after 10 seconds."
      Remove-Job $job -Force
  } else {
      # Job completed within the timeout
      $AclRule = Receive-Job $job
      Remove-Job $job -Force
  }

  $managerCanUpdateMembership = $false
  if (($null -ne $AclRule) -and ($AclRule.AccessControlType -eq 'Allow') -and ($AclRule.IdentityReference -eq $DomainUser.SID)) {
      $managerCanUpdateMembership = $true

    Se managerCanUpdateMembership è True, l'utente del dominio dispone dell'autorizzazione di appartenenza all'aggiornamento per il gruppo di computer. Se managerCanUpdateMembership è False, assegnare all'utente di dominio l'autorizzazione di gestione del gruppo di computer.

Convalide dell'account del servizio gestito del gruppo

Problema: il test non viene eseguito perché i server non sono stati aggiunti al dominio

Risoluzione: assicurarsi che i computer possano aggiungere il dominio. Seguire la procedura di risoluzione dei problemi specificata nella sezione Convalida dell'aggiunta a un dominio.

Problema: il gruppo di computer con il nome <nome del gruppo di computer> non viene trovato nel dominio. I membri di questo gruppo devono essere in grado di recuperare la password dell'account del servizio gestito del gruppo

Risoluzione: verificare l'esistenza del gruppo e controllare il nome specificato.

Problema: l'account del servizio gestito del gruppo denominato <account del servizio gestito del gruppo del dominio> non è stato trovato nel dominio

Risoluzione: verificare l'esistenza dell'account del servizio gestito del gruppo e controllare il nome specificato o crearne uno nuovo se non è già stato creato.

Problema: l'account del servizio gestito del gruppo <account del servizio gestito del gruppo del dominio> non è abilitato

Risoluzione: abilitarlo usando il comando seguente:

Set-ADServiceAccount -Identity <domain gMSA> -Enabled $true

Problema: l'account del servizio gestito del gruppo <account del servizio gestito del gruppo del dominio> deve avere il nome host DNS impostato su <Nome DNS>

Risoluzione: l'account del servizio gestito del gruppo non ha la proprietà DNSHostName impostata correttamente. Impostare la proprietà DNSHostName usando il comando seguente:

Set-ADServiceAccount -Identity <domain gMSA> -DNSHostName <DNS Name>

Problema: il nome dell'account Sam per l'account del servizio gestito del gruppo <account del servizio gestito del gruppo del dominio> supera il limite di 15 caratteri

Risoluzione: impostare SamAccountName usando il comando seguente:

Set-ADServiceAccount -Identity <domain gMSA> -SamAccountName <shortname$>

Problema: il gruppo di computer <nome del gruppo di computer> deve essere impostato come PrincipalsAllowedToRetrieveManagedPassword per l'account del servizio gestito del gruppo del dominio <account del servizio gestito del gruppo del dominio>

Risoluzione: l'account del servizio gestito del gruppo non ha PrincipalsAllowedToRetrieveManagedPassword impostato correttamente. Impostare PrincipalsAllowedToRetrieveManagedPassword usando il comando seguente:

Set-ADServiceAccount -Identity <domain gMSA> - PrincipalsAllowedToRetrieveManagedPassword <computer group name>

Problema: i nomi dell'entità servizio non sono stati impostati correttamente per l'account del servizio gestito del gruppo <account del servizio gestito del gruppo del dominio>

Risoluzione: l'account del servizio gestito del gruppo non dispone di nomi dell'entità servizio corretti impostati. Impostare i nomi dell'entità servizio usando il comando seguente:

Set-ADServiceAccount -Identity <domain gMSA> -ServicePrincipalNames <set of SPNs>

Procedura di risoluzione dei problemi generale per le convalide dell'account del servizio gestito del gruppo

  1. Generare una nuova macchina virtuale in esecuzione su Windows Server 2022 o 2019 all'interno della subnet scelta per la creazione di istanza gestita SCOM. Accedere alla macchina virtuale e configurare il server DNS in modo da usare lo stesso IP DNS usato durante la creazione dell'istanza gestita SCOM.

  2. È possibile seguire le istruzioni dettagliate fornite di seguito oppure, se si ha familiarità con PowerShell, eseguire il controllo specifico chiamato Invoke-ValidategMSAAccount nello script ScomValidation.ps1. Per altre informazioni sull'esecuzione dello script di convalida in modo indipendente nel computer di test, vedere Linee guida generali per l'esecuzione dello script di convalida.

  3. Aggiungere la macchina virtuale a un dominio usando l'account di dominio usato nella creazione dell'istanza gestita SCOM. Per aggiungere la macchina virtuale al dominio, seguire la procedura descritta nella sezione Convalida dell'aggiunta a un dominio.

  4. Aprire PowerShell ISE in modalità di amministrazione e impostare Set-ExecutionPolicy su Senza restrizioni.

  5. Eseguire il comando seguente per importare i moduli:

    Add-WindowsFeature RSAT-AD-PowerShell -ErrorAction SilentlyContinue
Add-WindowsFeature GPMC -ErrorAction SilentlyContinue

  6. Per verificare che i server abbiano aggiunto correttamente il dominio, eseguire il comando seguente:

    (Get-WmiObject -Class Win32_ComputerSystem).PartOfDomain

  7. Per verificare l'esistenza del gruppo di computer, eseguire il comando seguente:

    $Credentials = New-Object pscredential -ArgumentList ("<username>", (ConvertTo-SecureString "password" -AsPlainText -Force))
$adGroup = Get-ADGroup -Identity $computerGroupName -Properties ManagedBy,DistinguishedName -Credential $Credentials

    Sostituire username, password e computerGroupName con i valori applicabili.

  8. Per verificare l'esistenza dell'account del servizio gestito del gruppo, eseguire il comando seguente:

    $adServiceAccount = Get-ADServiceAccount -Identity gMSAAccountName -Properties DNSHostName,Enabled,PrincipalsAllowedToRetrieveManagedPassword,SamAccountName,ServicePrincipalNames -Credential $Credentials

  9. Per convalidare le proprietà dell'account del servizio gestito del gruppo, verificare se l'account del servizio gestito del gruppo è abilitato:

    (Get-ADServiceAccount -Identity <GmsaAccount>).Enabled

    Se il comando restituisce False, abilitare l'account nel dominio.

  10. Per verificare che il nome host DNS dell'account del servizio gestito del gruppo corrisponda al nome DNS specificato (nome DNS LB), eseguire i comandi seguenti:

    (Get-ADServiceAccount -Identity <GmsaAccount>).DNSHostName

    Se il comando non restituisce il nome DNS previsto, aggiornare il nome host DNS dell'account del servizio gestito del gruppo in nome DNS LB.

  11. Assicurarsi che il nome dell'account Sam per l'account del servizio gestito del gruppo non superi il limite di 15 caratteri:

    (Get-ADServiceAccount -Identity <GmsaAccount>).SamAccountName.Length

  12. Per convalidare la proprietà PrincipalsAllowedToRetrieveManagedPassword, eseguire i comandi seguenti:

    Controllare se il Gruppo di computer specificato è impostato come `PrincipalsAllowedToRetrieveManagedPassword`` per l'account del servizio gestito del gruppo:

    (Get-ADServiceAccount -Identity <GmsaAccount>).PrincipalsAllowedToRetrieveManagedPassword -contains (Get-ADGroup -Identity <ComputerGroupName>).DistinguishedName

    Sostituire gMSAAccount e ComputerGroupName con i valori applicabili.

  13. Per convalidare i nomi dell'entità servizio per l'account del servizio gestito del gruppo, eseguire il comando seguente:

    $CorrectSPNs = @("MSOMSdkSvc/$dnsHostName", "MSOMSdkSvc/$dnsName", "MSOMHSvc/$dnsHostName", "MSOMHSvc/$dnsName")
(Get-ADServiceAccount -Identity <GmsaAccount>).ServicePrincipalNames

    Controllare se i risultati hanno i nomi dell'entità servizio corretti. Sostituire $dnsName con il nome DNS LB specificato nella creazione dell'istanza gestita SCOM. Sostituire $dnsHostName con il nome breve DNS LB. Ad esempio: MSOMHSvc/ContosoLB.domain.com, MSOMHSvc/ContosoLB, MSOMSdkSvc/ContosoLB.domain.com e MSOMSdkSvc/ContosoLB sono nomi di entità servizio.

Convalide di Criteri di gruppo

Importante

Per correggere i criteri degli oggetti Criteri di gruppo, collaborare con l'amministratore di Active Directory ed escludere System Center Operations Manager dai criteri seguenti:

  • Oggetti Criteri di gruppo che modificano o eseguono l'override delle configurazioni dei gruppi di amministratori locali.
  • Oggetti Criteri di gruppo che disattivano l'autenticazione di rete.
  • Valutare gli oggetti Criteri di gruppo che impediscono l'accesso remoto agli amministratori locali.

Problema: Impossibile eseguire questo test perché i server non sono stati aggiunti al dominio

Risoluzione: assicurarsi che i computer vengano aggiunti al dominio. Seguire la procedura di risoluzione dei problemi nella sezione Convalida dell'aggiunta a un dominio.

Problema: l'account del servizio gestito del gruppo denominato <account del servizio gestito del gruppo del dominio> non è stato trovato nel dominio. Questo account deve essere un amministratore locale nel server

Risoluzione: verificare l'esistenza dell'account e assicurarsi che l'account del servizio gestito del gruppo e l'utente di dominio facciano parte del gruppo di amministratori locale.

Problema: gli account <nome utente del dominio> e <account del servizio gestito del gruppo del dominio> non possono essere aggiunti al gruppo Administrators locale nei server di gestione dei test o non è stato salvato in modo permanente nel gruppo dopo l'aggiornamento dei criteri di gruppo

Risoluzione: assicurarsi che gli input del nome utente del dominio e dell'account del servizio gestito del gruppo del dominio siano corretti, incluso il nome completo (dominio\account). Controllare anche se nel computer di test sono presenti criteri di gruppo che sovrascrivono il gruppo Administrators locale a causa dei criteri creati a livello di unità organizzativa o di dominio. Per il funzionamento dell'istanza gestita SCOM, l'account del servizio gestito del gruppo e l'utente del dominio devono far parte del gruppo di amministratori locale. I computer dell'istanza gestita SCOM devono essere esclusi da tutti i criteri che sostituiscono il gruppo di amministratori locale (usare l'amministratore di AD).

Problema: problema con istanza gestita SCOM

Causa: un criterio di gruppo nel dominio (nome: <nome dei Criteri di gruppo>) esegue l'override del gruppo Administrators locale nei server di gestione di test, o nell'unità organizzativa contenente i server o nella radice del dominio.

Risoluzione: assicurarsi che l'unità organizzativa per i server di gestione dell'istanza gestita SCOM (<Percorso dell'unità organizzativa>) non sia interessata da nessun criterio che esegue l'override del gruppo.

Procedura di risoluzione dei problemi generale per le convalide di Criteri di gruppo

  1. Generare una nuova macchina virtuale in esecuzione su Windows Server 2022 o 2019 all'interno della subnet scelta per la creazione di istanza gestita SCOM. Accedere alla macchina virtuale e configurare il server DNS in modo da usare lo stesso IP DNS usato durante la creazione dell'istanza gestita SCOM.

  2. È possibile seguire le istruzioni dettagliate fornite di seguito oppure, se si ha familiarità con PowerShell, eseguire il controllo specifico chiamato Invoke-ValidateLocalAdminOverideByGPO nello script ScomValidation.ps1. Per altre informazioni sull'esecuzione dello script di convalida in modo indipendente nel computer di test, vedere Linee guida generali per l'esecuzione dello script di convalida.

  3. Aggiungere la macchina virtuale a un dominio usando l'account di dominio usato nella creazione dell'istanza gestita SCOM. Per aggiungere la macchina virtuale al dominio, seguire la procedura descritta nella sezione Convalida dell'aggiunta a un dominio.

  4. Aprire PowerShell ISE in modalità di amministrazione e impostare Set-ExecutionPolicy su Senza restrizioni.

  5. Eseguire i comandi seguenti per importare i moduli:

    Add-WindowsFeature RSAT-AD-PowerShell -ErrorAction SilentlyContinue
Add-WindowsFeature GPMC -ErrorAction SilentlyContinue

  6. Per verificare se i server hanno aggiunto correttamente il dominio, eseguire il comando seguente:

    (Get-WmiObject -Class Win32_ComputerSystem).PartOfDomain

    Il comando deve restituire True.

  7. Per verificare l'esistenza dell'account del servizio gestito del gruppo, eseguire il comando seguente:

    Get-ADServiceAccount -Identity <GmsaAccount>

  8. Per convalidare la presenza di account utente nel gruppo Administrators locale, eseguire il comando seguente:

    $domainJoinCredentials = New-Object pscredential -ArgumentList ("<username>", (ConvertTo-SecureString "password" -AsPlainText -Force)) 
$addToAdminResult = Add-LocalGroupMember -Group "Administrators" -Member $userName, $gMSAccount -ErrorAction SilentlyContinue 
$gpUpdateResult = gpupdate /force 
$LocalAdmins = Get-LocalGroupMember -Group 'Administrators' | Select-Object -ExpandProperty Name

    Sostituire <UserName> e <GmsaAccount> con i valori effettivi.

  9. Per determinare i dettagli del dominio e dell'unità organizzativa, eseguire il comando seguente:

    Get-ADOrganizationalUnit -Filter "DistinguishedName -like '$ouPathDN'" -Properties CanonicalName -Credential $domainUserCredentials

    Sostituire <OuPathDN> con il percorso effettivo dell'unità organizzativa.

  10. Per ottenere il report dell'oggetto Criteri di gruppo dal dominio e verificare la presenza di criteri di override nel gruppo Administrators locale, eseguire il comando seguente:

     [xml]$gpoReport = Get-GPOReport -All -ReportType Xml -Domain <domain name>
 foreach ($GPO in $gpoReport.GPOS.GPO) {
     # Check if the GPO links to the entire domain, or the input OU if provided
     if (($GPO.LinksTo.SOMPath -eq $domainName) -or ($GPO.LinksTo.SOMPath -eq $ouPathCN)) {
         # Check if there is a policy overriding the Local Users and Groups
         if ($GPO.Computer.ExtensionData.Extension.LocalUsersAndGroups.Group) {
         $GroupPolicy = $GPO.Computer.ExtensionData.Extension.LocalUsersAndGroups.Group | Select-Object @{Name='RemoveUsers';Expression={$_.Properties.deleteAllUsers}},@{Name='RemoveGroups';Expression={$_.Properties.deleteAllGroups}},@{Name='GroupName';Expression={$_.Properties.groupName}}
         # Check if the policy is acting on the BUILTIN\Administrators group, and whether it is removing other users or groups
         if (($GroupPolicy.groupName -eq "Administrators (built-in)") -and (($GroupPolicy.RemoveUsers -eq 1) -or ($GroupPolicy.RemoveGroups -eq 1))) {
          $overridingPolicyFound = $true
          $overridingPolicyName = $GPO.Name
             }
         }
     }
 }
 if($overridingPolicyFound) {
  Write-Warning "Validation failed. A group policy in your domain (name: $overridingPolicyName) is overriding the local Administrators group on this machine. This will cause SCOM MI installation to fail. Please ensure that the OU for SCOM MI Management Servers is not affected by this policy"
 }
 else {
  Write-Output "Validation suceeded. No group policy found in your domain which overrides local Administrators. "
 }

Se l'esecuzione dello script restituisce un avviso come Convalida non riuscita, è presente un criterio (nome come nel messaggio di avviso) che esegue l'override del gruppo di amministratori locale. Rivolgersi all'amministratore di Active Directory ed escludere il server di gestione di System Center Operations Manager dai criteri.