Delen via


Veelvoorkomende fouten oplossen tijdens het valideren van invoerparameters

In dit artikel worden de fouten beschreven die kunnen optreden tijdens het valideren van invoerparameters en hoe u deze kunt oplossen.

Als u problemen ondervindt bij het maken van on-premises parameters, gebruikt u dit script voor hulp.

Dit script is ontworpen om problemen met betrekking tot het maken van on-premises parameters op te lossen en op te lossen. Open het script en gebruik de bijbehorende functionaliteiten om eventuele problemen op te lossen die kunnen optreden tijdens het maken van on-premises parameters.

Volg deze stappen om het script uit te voeren:

  1. Download het script en voer het uit met de optie -Help om de parameters op te halen.
  2. Meld u aan met domeinreferenties op een computer die lid is van een domein. De computer moet zich in een domein bevinden dat wordt gebruikt voor het beheerde SCOM-exemplaar. Nadat u zich hebt aangemeld, voert u het script uit met de opgegeven parameters.
  3. Als een validatie mislukt, voert u de corrigerende acties uit zoals voorgesteld door het script en voert u het script opnieuw uit totdat alle validaties zijn geslaagd.
  4. Zodra alle validaties zijn geslaagd, gebruikt u dezelfde parameters die in het script worden gebruikt, bijvoorbeeld het maken.

Validatiecontroles en details

Validatie Beschrijving
Azure-invoervalidatiecontroles
Vereisten instellen op de testmachine 1. Installeer de AD PowerShell-module.
2. Installeer de PowerShell-module Groepsbeleid.
Verbinding met internet Controleert of uitgaande internetverbinding beschikbaar is op de testservers.
SQL MI-connectiviteit Controleert of de opgegeven SQL MI bereikbaar is vanuit het netwerk waarop de testservers worden gemaakt.
DNS-serverconnectiviteit Controleert of het opgegeven IP-adres van de DNS-server bereikbaar en omgezet is naar een geldige DNS-server.
Domeinconnectiviteit Controleert of de opgegeven domeinnaam bereikbaar is en is omgezet in een geldig domein.
Validatie van domeindeelname Controleert of domeindeelname slaagt met behulp van het opgegeven OE-pad en domeinreferenties.
Statische IP- en LB FQDN-koppeling Controleert of er een DNS-record is gemaakt voor het opgegeven statische IP-adres op basis van de opgegeven DNS-naam.
Validaties van computergroepen Controleert of de opgegeven computergroep wordt beheerd door de opgegeven domeingebruiker en de manager kan groepslidmaatschap bijwerken.
gMSA-accountvalidaties Controleert of de opgegeven gMSA:
- is ingeschakeld.
- Heeft de DNS-hostnaam ingesteld op de opgegeven DNS-naam van de LB.
- Heeft een SAM-accountnaamlengte van 15 tekens of minder.
- Heeft de juiste SPN's ingesteld.
Het wachtwoord kan worden opgehaald door leden van de opgegeven computergroep.
Validaties van groepsbeleid Controleert of het domein (of het OE-pad, dat als host fungeert voor de beheerservers), wordt beïnvloed door een groepsbeleid dat de lokale groep Administrators wijzigt.
Opschonen na validatie Ontkoppelen van het domein.

Algemene richtlijnen voor het uitvoeren van validatiescripts

Tijdens het onboardingproces wordt een validatie uitgevoerd op het validatiestadium/tabblad. Als alle validaties zijn geslaagd, kunt u doorgaan naar de laatste fase van het maken van een beheerd SCOM-exemplaar. Als er echter validaties mislukken, kunt u niet doorgaan met het maken.

In gevallen waarin meerdere validaties mislukken, kunt u het beste alle problemen tegelijk oplossen door handmatig een validatiescript uit te voeren op een testcomputer.

Belangrijk

Maak in eerste instantie een nieuwe windows Server-testmachine (2022/2019) in hetzelfde subnet dat is geselecteerd voor het maken van SCOM Managed Instance. Vervolgens kunnen zowel uw AD-beheerder als netwerkbeheerder deze VIRTUELE machine afzonderlijk gebruiken om de effectiviteit van hun respectieve wijzigingen te controleren. Deze aanpak bespaart aanzienlijk tijd die is besteed aan back-and-forth communicatie tussen de AD-beheerder en de netwerkbeheerder.

Volg deze stappen om het validatiescript uit te voeren:

  1. Genereer een nieuwe virtuele machine (VM) die wordt uitgevoerd op Windows Server 2022 of 2019 binnen het gekozen subnet voor het maken van een beheerd SCOM-exemplaar. Meld u aan bij de VIRTUELE machine en configureer de DNS-server om hetzelfde DNS-IP-adres te gebruiken dat is gebruikt tijdens het maken van het beheerde SCOM-exemplaar. Zie hieronder bijvoorbeeld:

    Schermopname van eigenschappen.

  2. Download het validatiescript naar de test-VM en pak het uit. Het bestaat uit vijf bestanden:

    • ScomValidation.ps1
    • RunValidationAsSCOMAdmin.ps1
    • RunValidationAsActiveDirectoryAdmin.ps1
    • RunValidationAsNetworkAdmin.ps1
    • Readme.txt
  3. Volg de stappen in het Readme.txt-bestand om RunValidationAsSCOMAdmin.ps1 uit te voeren. Zorg ervoor dat u de waarde van de instellingen in RunValidationAsSCOMAdmin.ps1 vult met toepasselijke waarden voordat u deze uitvoert.

    # $settings = @{
    #   Configuration = @{
    #         DomainName="test.com"                 
    #         OuPath= "DC=test,DC=com"           
    #         DNSServerIP = "190.36.1.55"           
    #         UserName="test\testuser"              
    #         Password = "password"                 
    #         SqlDatabaseInstance= "test-sqlmi-instance.023a29518976.database.windows.net" 
    #         ManagementServerGroupName= "ComputerMSG"      
    #         GmsaAccount= "test\testgMSA$"
    #         DnsName= "lbdsnname.test.com"
    #         LoadBalancerIP = "10.88.78.200"
    #     }
    # }
    # Note : Before running this script, please make sure you have provided all the parameters in the settings
    $settings = @{
    Configuration = @{
    DomainName="<domain name>"
    OuPath= "<OU path>"
    DNSServerIP = "<DNS server IP>"
    UserName="<domain user name>"
    Password = "<domain user password>"
    SqlDatabaseInstance= "<SQL MI Host name>"
    ManagementServerGroupName= "<Computer Management server group name>"
    GmsaAccount= "<GMSA account>"
    DnsName= "<DNS name associated with the load balancer IP address>"
    LoadBalancerIP = "<Load balancer IP address>"
    }
    }
    
  4. Over het algemeen voert RunValidationAsSCOMAdmin.ps1 alle validaties uit. Als u een specifieke controle wilt uitvoeren, opent u ScomValidation.ps1 en markeert u alle andere controles, die zich aan het einde van het bestand bevinden. U kunt ook een onderbrekingspunt toevoegen aan de specifieke controle om fouten in de controle op te sporen en de problemen beter te begrijpen.

        # Default mode is - SCOMAdmin, by default if mode is not passed then it will run all the validations  

    # adding all the checks to result set 

    try { 

        # Connectivity checks 

        $validationResults += Invoke-ValidateStorageConnectivity $settings 

        $results = ConvertTo-Json $validationResults -Compress 

         

        $validationResults += Invoke-ValidateSQLConnectivity $settings 

        $results = ConvertTo-Json $validationResults -Compress 

 

        $validationResults += Invoke-ValidateDnsIpAddress $settings 

        $results = ConvertTo-Json $validationResults -Compress 

 

        $validationResults += Invoke-ValidateDomainControllerConnectivity $settings 

        $results = ConvertTo-Json $validationResults -Compress 

 

        # Parameter validations 

        $validationResults += Invoke-ValidateDomainJoin $settings 

        $results = ConvertTo-Json $validationResults -Compress 

 

        $validationResults += Invoke-ValidateStaticIPAddressAndDnsname $settings 

        $results = ConvertTo-Json $validationResults -Compress 

 

        $validationResults += Invoke-ValidateComputerGroup $settings 

        $results = ConvertTo-Json $validationResults -Compress 

 

        $validationResults += Invoke-ValidategMSAAccount $settings 

        $results = ConvertTo-Json $validationResults -Compress 

             

        $validationResults += Invoke-ValidateLocalAdminOverideByGPO $settings 

        $results = ConvertTo-Json $validationResults -Compress 

    } 

    catch { 

        Write-Verbose -Verbose  $_ 

    } 
  1. In het validatiescript worden alle validatiecontroles en de bijbehorende fouten weergegeven, waardoor de validatieproblemen kunnen worden opgelost. Voor een snelle oplossing voert u het script uit in PowerShell ISE met onderbrekingspunt, waardoor het foutopsporingsproces kan worden versneld.

    Als alle controles zijn geslaagd, keert u terug naar de onboardingpagina en start u het onboardingproces opnieuw.

Verbinding met internet

Probleem: uitgaande internetverbinding bestaat niet op de testservers

Oorzaak: treedt op vanwege een onjuist IP-adres van de DNS-server of een onjuiste netwerkconfiguratie.

Oplossing:

  1. Controleer het IP-adres van de DNS-server en controleer of de DNS-server actief is.
  2. Zorg ervoor dat het VNet, dat wordt gebruikt voor het maken van een beheerd SCOM-exemplaar, line-of-sight voor de DNS-server heeft.

Probleem: Kan geen verbinding maken met het opslagaccount om SCOM Managed Instance-productbits te downloaden

Oorzaak: treedt op vanwege een probleem met uw internetverbinding.

Oplossing: Controleer of het VNet dat wordt gebruikt voor het maken van een beheerd SCOM-exemplaar uitgaande internettoegang heeft door een virtuele testmachine te maken op hetzelfde subnet als het beheerde SCOM-exemplaar en uitgaande connectiviteit te testen vanaf de virtuele testmachine.

Probleem: test voor internetverbinding is mislukt. Vereiste eindpunten zijn niet bereikbaar vanuit het VNet

Oorzaak: treedt op vanwege een onjuist IP-adres van de DNS-server of een onjuiste netwerkconfiguratie.

Oplossing:

  • Controleer het IP-adres van de DNS-server en controleer of de DNS-server actief is.

  • Zorg ervoor dat het VNet, dat wordt gebruikt voor het maken van een beheerd SCOM-exemplaar, line-of-sight voor de DNS-server heeft.

  • Zorg ervoor dat het beheerde SCOM-exemplaar uitgaande internettoegang heeft en NSG/Firewall juist is geconfigureerd om toegang tot de vereiste eindpunten toe te staan, zoals beschreven in firewallvereisten.

Algemene stappen voor probleemoplossing voor internetverbinding

  1. Genereer een nieuwe virtuele machine (VM) die wordt uitgevoerd op Windows Server 2022 of 2019 binnen het gekozen subnet voor het maken van een beheerd SCOM-exemplaar. Meld u aan bij de VIRTUELE machine en configureer de DNS-server om hetzelfde DNS-IP-adres te gebruiken dat is gebruikt tijdens het maken van het beheerde SCOM-exemplaar.

  2. U kunt de onderstaande stapsgewijze instructies volgen of als u bekend bent met PowerShell, voert u de specifieke controle uit die wordt aangeroepen Invoke-ValidateStorageConnectivity in het script ScomValidation.ps1 . Zie Algemene richtlijnen voor het uitvoeren van het validatiescript op uw testcomputer voor meer informatie over het onafhankelijk uitvoeren van het validatiescript.

  3. Open de PowerShell ISE in de beheermodus en stel Set-ExecutionPolicy in als Onbeperkt.

  4. Voer de volgende opdracht uit om de internetverbinding te controleren:

    Test-NetConnection www.microsoft.com -Port 80
    

    Met deze opdracht wordt de verbinding met www.microsoft.com op poort 80 gecontroleerd. Als dit mislukt, wordt een probleem met uitgaande internetverbinding aangegeven.

  5. Voer de volgende opdracht uit om de DNS-instellingen te controleren:

    Get-DnsClientServerAddress
    

    Met deze opdracht worden de IP-adressen van de DNS-server opgehaald die op de computer zijn geconfigureerd. Zorg ervoor dat de DNS-instellingen juist en toegankelijk zijn.

  6. Voer de volgende opdracht uit om de netwerkconfiguratie te controleren:

    Get-NetIPConfiguration
    

    Met deze opdracht worden de details van de netwerkconfiguratie weergegeven. Controleer of de netwerkinstellingen juist zijn en overeenkomen met uw netwerkomgeving.

SQL MI-connectiviteit

Probleem: uitgaande internetverbinding bestaat niet op de testservers

Oorzaak: treedt op vanwege een onjuist IP-adres van de DNS-server of een onjuiste netwerkconfiguratie.

Oplossing:

  1. Controleer het IP-adres van de DNS-server en controleer of de DNS-server actief is.
  2. Zorg ervoor dat het VNet, dat wordt gebruikt voor het maken van een beheerd SCOM-exemplaar, line-of-sight voor de DNS-server heeft.

Probleem: Kan db-aanmelding niet configureren voor MSI op een beheerd SQL-exemplaar

Oorzaak: treedt op wanneer MSI niet juist is geconfigureerd voor toegang tot een met SQL beheerd exemplaar.

Oplossing: Controleer of MSI is geconfigureerd als Microsoft Entra Admin op sql Managed Instance. Zorg ervoor dat de vereiste Microsoft Entra-id-machtigingen zijn opgegeven aan het beheerde SQL-exemplaar, zodat MSI-verificatie werkt.

Probleem: Kan vanuit dit exemplaar geen verbinding maken met SQL MI

Oorzaak: treedt op omdat het SQL MI-VNet niet is gedelegeerd of niet juist is gekoppeld aan het VNet van het beheerde SCOM-exemplaar.

Oplossing:

  1. Controleer of de SQL MI juist is geconfigureerd.
  2. Zorg ervoor dat het VNet, dat wordt gebruikt voor het maken van een met SCOM beheerd exemplaar, line-of-sight heeft voor de SQL MI, door zich in hetzelfde VNet of door VNet-peering te bevinden.

Algemene stappen voor probleemoplossing voor SQL MI-connectiviteit

  1. Genereer een nieuwe virtuele machine (VM) die wordt uitgevoerd op Windows Server 2022 of 2019 binnen het gekozen subnet voor het maken van een beheerd SCOM-exemplaar. Meld u aan bij de VIRTUELE machine en configureer de DNS-server om hetzelfde DNS-IP-adres te gebruiken dat is gebruikt tijdens het maken van het beheerde SCOM-exemplaar.

  2. U kunt de onderstaande stapsgewijze instructies volgen of als u bekend bent met PowerShell, voert u de specifieke controle uit die wordt aangeroepen Invoke-ValidateSQLConnectivity in het script ScomValidation.ps1 . Zie Algemene richtlijnen voor het uitvoeren van het validatiescript op uw testcomputer voor meer informatie over het onafhankelijk uitvoeren van het validatiescript.

  3. Open de PowerShell ISE in de beheermodus en stel Set-ExecutionPolicy in als Onbeperkt.

  4. Voer de volgende opdracht uit om de uitgaande internetverbinding te controleren:

    Test-NetConnection -ComputerName "www.microsoft.com" -Port 80
    

    Met deze opdracht wordt de uitgaande internetverbinding gecontroleerd door een verbinding tot stand te brengen met www.microsoft.com op poort 80. Als de verbinding mislukt, duidt dit op een mogelijk probleem met de internetverbinding.

  5. Als u de DNS-instellingen en netwerkconfiguratie wilt controleren, controleert u of de IP-adressen van de DNS-server correct zijn geconfigureerd en valideert u de netwerkconfiguratie-instellingen op de computer waarop de validatie wordt uitgevoerd.

  6. Voer de volgende opdracht uit om de SQL MI-verbinding te testen:

    Test-NetConnection -ComputerName $sqlMiName -Port 1433
    

    Vervang door $sqlMiName de naam van de SQL MI-hostnaam.

    Met deze opdracht wordt de verbinding met het SQL MI-exemplaar getest. Als de verbinding is geslaagd, geeft dit aan dat de SQL MI bereikbaar is.

DNS-serverconnectiviteit

Probleem: DNS IP opgegeven (<DNS IP>) is onjuist of de DNS-server is niet bereikbaar

Oplossing: controleer het IP-adres van de DNS-server en controleer of de DNS-server actief is.

Algemene probleemoplossing voor DNS-serverconnectiviteit

  1. Genereer een nieuwe virtuele machine (VM) die wordt uitgevoerd op Windows Server 2022 of 2019 binnen het gekozen subnet voor het maken van een beheerd SCOM-exemplaar. Meld u aan bij de VIRTUELE machine en configureer de DNS-server om hetzelfde DNS-IP-adres te gebruiken dat is gebruikt tijdens het maken van het beheerde SCOM-exemplaar.

  2. U kunt de onderstaande stapsgewijze instructies volgen of als u bekend bent met PowerShell, voert u de specifieke controle uit die wordt aangeroepen Invoke-ValidateDnsIpAddress in het script ScomValidation.ps1 . Zie Algemene richtlijnen voor het uitvoeren van het validatiescript op uw testcomputer voor meer informatie over het onafhankelijk uitvoeren van het validatiescript.

  3. Open de PowerShell ISE in de beheermodus en stel Set-ExecutionPolicy in als Onbeperkt.

  4. Voer de volgende opdracht uit om de DNS-omzetting voor het opgegeven IP-adres te controleren:

    Resolve-DnsName -Name $ipAddress -IssueAction SilentlyContinue
    

    Vervang $ipAddress door het IP-adres dat u wilt valideren.

    Met deze opdracht wordt de DNS-omzetting gecontroleerd op het opgegeven IP-adres. Als de opdracht geen resultaten retourneert of een fout genereert, wordt een mogelijk probleem met DNS-omzetting aangegeven.

  5. Voer de volgende opdracht uit om de netwerkverbinding met het IP-adres te controleren:

    Test-NetConnection -ComputerName $ipAddress -Port 80
    

    Vervang $ipAddress door het IP-adres dat u wilt testen.

    Met deze opdracht wordt de netwerkverbinding met het opgegeven IP-adres gecontroleerd op poort 80. Als de verbinding mislukt, wordt er een probleem met de netwerkverbinding voorgesteld.

Domeinconnectiviteit

Probleem: de domeincontroller voor domeinnaam <> is niet bereikbaar vanuit dit netwerk of de poort is niet geopend op ten minste één domeincontroller

Oorzaak: treedt op vanwege een probleem met het opgegeven IP-adres van de DNS-server of uw netwerkconfiguratie.

Oplossing:

  1. Controleer het IP-adres van de DNS-server en controleer of de DNS-server actief is.
  2. Zorg ervoor dat de domeinnaamomzetting juist is omgeleid naar de aangewezen domeincontroller (DC) die is geconfigureerd voor Azure of SCOM Managed Instance. Controleer of deze domeincontroller boven aan de opgeloste DC's wordt vermeld. Als de oplossing wordt omgeleid naar verschillende DC-servers, geeft dit een probleem met AD-domeinomzetting aan.
  3. Controleer de domeinnaam en controleer of de domeincontroller is geconfigureerd voor Azure en SCOM Managed Instance actief is.

    Notitie

    Poorten 9389, 389/636, 88, 3268/3269, 135, 445 moeten zijn geopend op DC die is geconfigureerd voor Azure of SCOM Managed Instance, en alle services op de domeincontroller moeten worden uitgevoerd.

Algemene stappen voor probleemoplossing voor domeinconnectiviteit

  1. Genereer een nieuwe virtuele machine (VM) die wordt uitgevoerd op Windows Server 2022 of 2019 binnen het gekozen subnet voor het maken van een beheerd SCOM-exemplaar. Meld u aan bij de VIRTUELE machine en configureer de DNS-server om hetzelfde DNS-IP-adres te gebruiken dat is gebruikt tijdens het maken van het beheerde SCOM-exemplaar.

  2. U kunt de onderstaande stapsgewijze instructies volgen of als u bekend bent met PowerShell, voert u de specifieke controle uit die wordt aangeroepen Invoke-ValidateDomainControllerConnectivity in het script ScomValidation.ps1 . Zie Algemene richtlijnen voor het uitvoeren van het validatiescript op uw testcomputer voor meer informatie over het onafhankelijk uitvoeren van het validatiescript.

  3. Open de PowerShell ISE in de beheermodus en stel Set-ExecutionPolicy in als Onbeperkt.

  4. Voer de volgende opdracht uit om de bereikbaarheid van de domeincontroller te controleren:

    Resolve-DnsName -Name $domainName 
    

    Vervang $domainName door de naam van het domein dat u wilt testen.

    Zorg ervoor dat de domeinnaamomzetting juist is omgeleid naar de aangewezen domeincontroller (DC) die is geconfigureerd voor Azure of SCOM Managed Instance. Controleer of deze domeincontroller boven aan de opgeloste DC's wordt vermeld. Als de oplossing wordt omgeleid naar verschillende DC-servers, geeft dit een probleem met AD-domeinomzetting aan.

  5. Dns-serverinstellingen controleren:

    • Zorg ervoor dat de DNS-serverinstellingen op de computer waarop de validatie wordt uitgevoerd correct zijn geconfigureerd.
    • Controleer of de IP-adressen van de DNS-server juist en toegankelijk zijn.
  6. Netwerkconfiguratie valideren:

    • Controleer de netwerkconfiguratie-instellingen op de computer waarop de validatie wordt uitgevoerd.
    • Zorg ervoor dat de computer is verbonden met het juiste netwerk en de benodigde netwerkinstellingen heeft om te communiceren met de domeincontroller.
  7. Voer de volgende opdracht uit om de vereiste poort op de domeincontroller te testen:

    Test-NetConnection -ComputerName $domainName -Port $portToCheck
    

    Vervang $domainName door de naam van het domein dat u wilt testen en $portToCheck door elke poort uit het volgende lijstnummer:

    • 389/636
    • 88
    • 3268/3269
    • 135
    • 445

    Voer de opgegeven opdracht uit voor alle bovenstaande poorten.

    Met deze opdracht wordt gecontroleerd of de opgegeven poort is geopend op de aangewezen domeincontroller die is geconfigureerd voor het maken van Azure of SCOM Managed Instance. Als de opdracht een geslaagde verbinding weergeeft, geeft deze aan dat de benodigde poorten zijn geopend.

Validatie van domeindeelname

Probleem: testbeheerservers kunnen niet worden gekoppeld aan het domein

Oorzaak: treedt op vanwege een onjuist OE-pad, onjuiste referenties of een probleem in de netwerkverbinding.

Oplossing:

  1. Controleer de referenties die zijn gemaakt in uw sleutelkluis. De gebruikersnaam en het wachtwoordgeheim moeten overeenkomen met de juiste gebruikersnaam en indeling van de gebruikersnaamwaarde moeten domein\gebruikersnaam en wachtwoord zijn, die machtigingen hebben om een computer aan het domein toe te voegen. Standaard kunnen gebruikersaccounts maximaal 10 computers toevoegen aan het domein. Als u wilt configureren, raadpleegt u de standaardlimiet voor het aantal als een gebruiker werkstations kan toevoegen aan het domein.
  2. Controleer of het OE-pad juist is en verhindert niet dat nieuwe computers lid worden van het domein.

Algemene stappen voor probleemoplossing voor domeindeelnamevalidatie

  1. Genereer een nieuwe virtuele machine (VM) die wordt uitgevoerd op Windows Server 2022 of 2019 binnen het gekozen subnet voor het maken van een beheerd SCOM-exemplaar. Meld u aan bij de VIRTUELE machine en configureer de DNS-server om hetzelfde DNS-IP-adres te gebruiken dat is gebruikt tijdens het maken van het beheerde SCOM-exemplaar.

  2. U kunt de onderstaande stapsgewijze instructies volgen of als u bekend bent met PowerShell, voert u de specifieke controle uit die wordt aangeroepen Invoke-ValidateDomainJoin in het script ScomValidation.ps1 . Zie Algemene richtlijnen voor het uitvoeren van het validatiescript op uw testcomputer voor meer informatie over het onafhankelijk uitvoeren van het validatiescript.

  3. Open de PowerShell ISE in de beheermodus en stel Set-ExecutionPolicy in als Onbeperkt.

  4. Koppel de VIRTUELE machine aan een domein met behulp van het domeinaccount dat wordt gebruikt bij het maken van een beheerd SCOM-exemplaar. Voer de volgende opdracht uit om het domein toe te voegen aan een computer met behulp van referenties:

    
    $domainName = "<domainname>"
    
    
    $domainJoinCredentials = New-Object pscredential -ArgumentList ("<username>", (ConvertTo-SecureString "password" -AsPlainText -Force))
    
    
    
    $ouPath = "<OU path>"
    if (![String]::IsNullOrWhiteSpace($ouPath)) {
    $domainJoinResult = Add-Computer -DomainName $domainName -Credential $domainJoinCredentials -OUPath $ouPath -Force -WarningAction SilentlyContinue -ErrorAction SilentlyContinue
    }
    else {
    $domainJoinResult = Add-Computer -DomainName $domainName -Credential $domainJoinCredentials -Force -WarningAction SilentlyContinue -ErrorAction SilentlyContinue
    }   
    

    Vervang de gebruikersnaam, het wachtwoord, $domainName $ouPath door de juiste waarden.

    Nadat u de bovenstaande opdracht hebt uitgevoerd, voert u de volgende opdracht uit om te controleren of de computer lid is van het domein:

    Get-WmiObject -Class Win32_ComputerSystem | Select-Object -ExpandProperty PartOfDomain
    

Statische IP- en LB FQDN-koppeling

Probleem: tests kunnen niet worden uitgevoerd omdat de servers geen lid zijn van het domein

Oplossing: Zorg ervoor dat de computers lid kunnen worden van het domein. Volg de stappen voor probleemoplossing in de sectie Domeindeelnamevalidatie.

Probleem: DNS-naam dns-naam <> kan niet worden omgezet

Oplossing: de opgegeven DNS-naam bestaat niet in de DNS-records. Controleer de DNS-naam en controleer of deze juist is gekoppeld aan het opgegeven statische IP-adres.

Probleem: het opgegeven statische IP-adres <> en dns-naam <> van de load balancer komen niet overeen

Oplossing: controleer de DNS-records en geef de juiste COMBINATIE van DNS-naam/statisch IP-adres op. Zie Een statisch IP-adres maken en de DNS-naam configureren voor meer informatie.

Algemene stappen voor probleemoplossing voor statische IP- en LB-FQDN-koppeling

  1. Genereer een nieuwe virtuele machine (VM) die wordt uitgevoerd op Windows Server 2022 of 2019 binnen het gekozen subnet voor het maken van een beheerd SCOM-exemplaar. Meld u aan bij de VIRTUELE machine en configureer de DNS-server om hetzelfde DNS-IP-adres te gebruiken dat is gebruikt tijdens het maken van het beheerde SCOM-exemplaar.

  2. U kunt de onderstaande stapsgewijze instructies volgen of als u bekend bent met PowerShell, voert u de specifieke controle uit die wordt aangeroepen Invoke-ValidateStaticIPAddressAndDnsname in het script ScomValidation.ps1 . Zie Algemene richtlijnen voor het uitvoeren van het validatiescript op uw testcomputer voor meer informatie over het onafhankelijk uitvoeren van het validatiescript.

  3. Open de PowerShell ISE in de beheermodus en stel Set-ExecutionPolicy in als Onbeperkt.

  4. Koppel de virtuele machine aan een domein met behulp van het domeinaccount dat wordt gebruikt bij het maken van een met SCOM beheerd exemplaar. Als u de virtuele machine wilt toevoegen aan een domein, volgt u de stappen in de sectie Domeindeelnamevalidatie.

  5. Haal het IP-adres en de bijbehorende DNS-naam op en voer de volgende opdrachten uit om te zien of deze overeenkomen. Los de DNS-naam op en haal het werkelijke IP-adres op:

    $DNSRecord = Resolve-DnsName -Name $DNSName
    $ActualIP = $DNSRecord.IPAddress
    

    Als de DNS-naam niet kan worden omgezet, controleert u of de DNS-naam geldig is en is gekoppeld aan het werkelijke IP-adres.

Validaties van computergroepen

Probleem: De test kan niet worden uitgevoerd omdat de servers het domein niet konden toevoegen

Oplossing: Zorg ervoor dat de computers lid kunnen worden van het domein. Volg de stappen voor probleemoplossing die zijn opgegeven in de sectie Domeindeelnamevalidatie.

Probleem: De computergroep met de naam <> van de computergroep kan niet worden gevonden in uw domein

Oplossing: Controleer of de groep bestaat en controleer de opgegeven naam of maak een nieuwe als deze nog niet is gemaakt.

Probleem: de computergroepnaam> van de invoercomputergroep <wordt niet beheerd door de gebruikersnaam van het gebruikersdomein <>

Oplossing: Navigeer naar de groepseigenschappen en stel deze gebruiker in als manager. Zie Een computergroep maken en configureren voor meer informatie.

Probleem: De gebruikersnaam> van het managerdomein <van de naam> van de computergroep computergroep <heeft niet de benodigde machtigingen voor het beheren van groepslidmaatschap

Oplossing: Navigeer naar de groepseigenschappen en schakel het selectievakje Beheren kan lidmaatschapslijst bijwerken. Zie Een computergroep maken en configureren voor meer informatie.

Algemene stappen voor probleemoplossing voor computergroepvalidaties

  1. Genereer een nieuwe virtuele machine (VM) die wordt uitgevoerd op Windows Server 2022 of 2019 binnen het gekozen subnet voor het maken van een beheerd SCOM-exemplaar. Meld u aan bij de VIRTUELE machine en configureer de DNS-server om hetzelfde DNS-IP-adres te gebruiken dat is gebruikt tijdens het maken van het beheerde SCOM-exemplaar.

  2. U kunt de onderstaande stapsgewijze instructies volgen of als u bekend bent met PowerShell, voert u de specifieke controle uit die wordt aangeroepen Invoke-ValidateComputerGroup in het script ScomValidation.ps1 . Zie Algemene richtlijnen voor het uitvoeren van het validatiescript op uw testcomputer voor meer informatie over het onafhankelijk uitvoeren van het validatiescript.

  3. Koppel de VIRTUELE machine aan een domein met behulp van het domeinaccount dat wordt gebruikt bij het maken van een beheerd SCOM-exemplaar. Als u de virtuele machine wilt toevoegen aan een domein, volgt u de stappen in de sectie Domeindeelnamevalidatie.

  4. Open de PowerShell ISE in de beheermodus en stel Set-ExecutionPolicy in als Onbeperkt.

  5. Voer de volgende opdracht uit om modules te importeren:

    Add-WindowsFeature RSAT-AD-PowerShell -ErrorAction SilentlyContinue
    Add-WindowsFeature GPMC -ErrorAction SilentlyContinue
    
  6. Voer de volgende opdracht uit om te controleren of de VIRTUELE machine is toegevoegd aan het domein:

    Get-WmiObject -Class Win32_ComputerSystem | Select-Object -ExpandProperty PartOfDomain
    
  7. Voer de volgende opdracht uit om het bestaan van het domein te controleren en of de huidige computer al lid is van het domein:

    $domainJoinCredentials = New-Object pscredential -ArgumentList ("<username>", (ConvertTo-SecureString "password" -AsPlainText -Force)) 
    $Domain = Get-ADDomain -Current LocalComputer -Credential $domainUserCredentials
    

    Vervang $username, password door toepasselijke waarden.

  8. Voer de volgende opdracht uit om het bestaan van de gebruiker in het domein te controleren:

    $DomainUser = Get-ADUser -Identity $username -Credential $domainUserCredentials
    

    Vervangen $usernamedoor $domainUserCredentials toepasselijke waarden

  9. Voer de volgende opdracht uit om het bestaan van de computergroep in het domein te controleren:

    $ComputerGroup = Get-ADGroup -Identity $computerGroupName -Properties ManagedBy,DistinguishedName -Credential $domainUserCredentials
    

    Vervang $computerGroupName, $domainUserCredentials door toepasselijke waarden.

  10. Als de gebruiker en computergroep bestaan, moet u bepalen of de gebruiker de beheerder van de computergroep is.

    Import-Module ActiveDirectory
      	$DomainDN = $Domain.DistinguishedName
      $GroupDN = $ComputerGroup.DistinguishedName
     $RightsGuid = [GUID](Get-ItemProperty "AD:\CN=Self-Membership,CN=Extended-Rights,CN=Configuration,$DomainDN" -Name rightsGuid -Credential $domainUserCredentials | Select-Object -ExpandProperty rightsGuid)
    
      # Run Get ACL under the give credentials
      $job = Start-Job -ScriptBlock {
          param (
              [Parameter(Mandatory = $true)]
              [string] $GroupDN,
              [Parameter(Mandatory = $true)]
              [GUID] $RightsGuid
          )
    
      Import-Module ActiveDirectory
      $AclRule = (Get-Acl -Path "AD:\$GroupDN").GetAccessRules($true,$true,[System.Security.Principal.SecurityIdentifier]) |  Where-Object {($_.ObjectType -eq $RightsGuid) -and ($_.ActiveDirectoryRights -like '*WriteProperty*')}
          return $AclRule
    
      } -ArgumentList $GroupDN, $RightsGuid -Credential $domainUserCredentials
    
      $timeoutSeconds = 20
      $jobResult = Wait-Job $job -Timeout $timeoutSeconds
    
      # Job did not complete within the timeout
      if ($null -eq $jobResult) {
          Write-Host "Checking permissions, timeout after 10 seconds."
          Remove-Job $job -Force
      } else {
          # Job completed within the timeout
          $AclRule = Receive-Job $job
          Remove-Job $job -Force
      }
    
      $managerCanUpdateMembership = $false
      if (($null -ne $AclRule) -and ($AclRule.AccessControlType -eq 'Allow') -and ($AclRule.IdentityReference -eq $DomainUser.SID)) {
          $managerCanUpdateMembership = $true
    
    

    Als managerCanUpdateMembership waar is, heeft de domeingebruiker de machtiging lidmaatschap bijwerken voor de computergroep. Als managerCanUpdateMembership false is, geeft u de computergroep beheermachtigingen voor de domeingebruiker.

gMSA-accountvalidaties

Probleem: De test wordt niet uitgevoerd omdat de servers geen lid zijn van het domein

Oplossing: Zorg ervoor dat de computers lid kunnen worden van het domein. Volg de stappen voor probleemoplossing die zijn opgegeven in de sectie Domeindeelnamevalidatie.

Probleem: Computergroep met naam computergroepnaam <> is niet gevonden in uw domein. De leden van deze groep moeten het gMSA-wachtwoord kunnen ophalen

Oplossing: Controleer of de groep bestaat en controleer de opgegeven naam.

Probleem: gMSA met naamdomein <gMSA> kan niet worden gevonden in uw domein

Oplossing: Controleer het bestaan van het gMSA-account en controleer de opgegeven naam of maak een nieuw account als dit nog niet is gemaakt.

Probleem: gMSA-domein <gMSA> is niet ingeschakeld

Oplossing: Schakel deze in met behulp van de volgende opdracht:

Set-ADServiceAccount -Identity <domain gMSA> -Enabled $true

Probleem: gMSA-domein <gMSA> moet de DNS-hostnaam hebben ingesteld op <DNS-naam>

Oplossing: de gMSA heeft de DNSHostName eigenschap niet juist ingesteld. Stel de DNSHostName eigenschap in met behulp van de volgende opdracht:

Set-ADServiceAccount -Identity <domain gMSA> -DNSHostName <DNS Name>

Probleem: De Sam-accountnaam voor gMSA-domein <gMSA> overschrijdt de limiet van 15 tekens

Oplossing: Stel de SamAccountName volgende opdracht in:

Set-ADServiceAccount -Identity <domain gMSA> -SamAccountName <shortname$>

Probleem: computergroep <computergroepnaam> moet worden ingesteld als principalsAllowedToRetrieveManagedPassword voor gMSA-domein <gMSA>

Oplossing: De gMSA is niet PrincipalsAllowedToRetrieveManagedPassword juist ingesteld. Stel de PrincipalsAllowedToRetrieveManagedPassword opdracht in met behulp van de volgende opdracht:

Set-ADServiceAccount -Identity <domain gMSA> - PrincipalsAllowedToRetrieveManagedPassword <computer group name>

Probleem: De SPN's zijn niet juist ingesteld voor het gMSA-domein <gMSA>

Oplossing: de gMSA beschikt niet over de juiste service-principalnamen. Stel de service-principalnamen in met de volgende opdracht:

Set-ADServiceAccount -Identity <domain gMSA> -ServicePrincipalNames <set of SPNs>

Algemene stappen voor probleemoplossing voor gMSA-accountvalidaties

  1. Genereer een nieuwe virtuele machine (VM) die wordt uitgevoerd op Windows Server 2022 of 2019 binnen het gekozen subnet voor het maken van een beheerd SCOM-exemplaar. Meld u aan bij de VIRTUELE machine en configureer de DNS-server om hetzelfde DNS-IP-adres te gebruiken dat is gebruikt tijdens het maken van het beheerde SCOM-exemplaar.

  2. U kunt de onderstaande stapsgewijze instructies volgen of als u bekend bent met PowerShell, voert u de specifieke controle uit die wordt aangeroepen Invoke-ValidategMSAAccount in het script ScomValidation.ps1 . Zie Algemene richtlijnen voor het uitvoeren van het validatiescript op uw testcomputer voor meer informatie over het onafhankelijk uitvoeren van het validatiescript.

  3. Koppel de VIRTUELE machine aan een domein met behulp van het domeinaccount dat wordt gebruikt bij het maken van een beheerd SCOM-exemplaar. Als u de virtuele machine wilt toevoegen aan een domein, volgt u de stappen in de sectie Domeindeelnamevalidatie.

  4. Open de PowerShell ISE in de beheermodus en stel Set-ExecutionPolicy in als Onbeperkt.

  5. Voer de volgende opdracht uit om modules te importeren:

    Add-WindowsFeature RSAT-AD-PowerShell -ErrorAction SilentlyContinue
    Add-WindowsFeature GPMC -ErrorAction SilentlyContinue
    
  6. Voer de volgende opdracht uit om te controleren of de servers lid zijn geworden van het domein:

    (Get-WmiObject -Class Win32_ComputerSystem).PartOfDomain
    
  7. Voer de volgende opdracht uit om het bestaan van de computergroep te controleren:

    $Credentials = New-Object pscredential -ArgumentList ("<username>", (ConvertTo-SecureString "password" -AsPlainText -Force))
    $adGroup = Get-ADGroup -Identity $computerGroupName -Properties ManagedBy,DistinguishedName -Credential $Credentials
    

    Vervang gebruikersnaam, wachtwoord en computerGroupName door toepasselijke waarden.

  8. Voer de volgende opdracht uit om het bestaan van het gMSA-account te controleren:

    $adServiceAccount = Get-ADServiceAccount -Identity gMSAAccountName -Properties DNSHostName,Enabled,PrincipalsAllowedToRetrieveManagedPassword,SamAccountName,ServicePrincipalNames -Credential $Credentials
    
  9. Als u de eigenschappen van het gMSA-account wilt valideren, controleert u of het gMSA-account is ingeschakeld:

    (Get-ADServiceAccount -Identity <GmsaAccount>).Enabled
    

    Als de opdracht False retourneert, schakelt u het account in het domein in.

  10. Voer de volgende opdrachten uit om te controleren of de DNS-hostnaam van het gMSA-account overeenkomt met de opgegeven DNS-naam (LB DNS-naam):

    (Get-ADServiceAccount -Identity <GmsaAccount>).DNSHostName
    

    Als de opdracht de verwachte DNS-naam niet retourneert, werkt u de DNS-hostnaam van gMsaAccount bij naar LB DNS-naam.

  11. Zorg ervoor dat de Sam-accountnaam voor het gMSA-account niet groter is dan de limiet van 15 tekens:

    (Get-ADServiceAccount -Identity <GmsaAccount>).SamAccountName.Length
    
  12. Voer de volgende opdrachten uit om de PrincipalsAllowedToRetrieveManagedPassword eigenschap te valideren:

    Controleer of de opgegeven computergroep is ingesteld als principalsAllowedToRetrieveManagedPassword' voor het gMSA-account:

    (Get-ADServiceAccount -Identity <GmsaAccount>).PrincipalsAllowedToRetrieveManagedPassword -contains (Get-ADGroup -Identity <ComputerGroupName>).DistinguishedName
    

    Vervang en ComputerGroupName door gMSAAccount toepasselijke waarden.

  13. Voer de volgende opdracht uit om de SPN's (Service Principal Names) voor het gMSA-account te valideren:

    $CorrectSPNs = @("MSOMSdkSvc/$dnsHostName", "MSOMSdkSvc/$dnsName", "MSOMHSvc/$dnsHostName", "MSOMHSvc/$dnsName")
    (Get-ADServiceAccount -Identity <GmsaAccount>).ServicePrincipalNames
    

    Controleer of de resultaten de juiste SPN's hebben. Vervang door $dnsName de LB DNS-naam die is opgegeven in het maken van het beheerde SCOM-exemplaar. Vervang door $dnsHostName de korte naam van LB DNS. Bijvoorbeeld: MSOMHSvc/ContosoLB.domain.com, MSOMHSvc/ContosoLB, MSOMSdkSvc/ContosoLB.domain.com en MSOMSdkSvc/ContosoLB zijn service-principalnamen.

Validaties van groepsbeleid

Belangrijk

Als u groepsbeleidsobjectbeleid wilt oplossen, werkt u samen met uw Active Directory-beheerder en sluit u System Center Operations Manager uit van het onderstaande beleid:

  • GPO's die configuraties van lokale beheerdersgroepen wijzigen of overschrijven.
  • GPO's die netwerkverificatie deactiveren.
  • Evalueer GPO's die externe aanmelding voor lokale beheerders belemmeren.

Probleem: deze test kan niet worden uitgevoerd omdat de servers geen lid zijn van het domein

Oplossing: Zorg ervoor dat de computers lid worden van het domein. Volg de stappen voor probleemoplossing in de sectie Domeindeelnamevalidatie.

Probleem: gMSA met naamdomein <gMSA> kan niet worden gevonden in uw domein. Dit account moet een lokale beheerder op de server zijn

Oplossing: Controleer of het account bestaat en zorg ervoor dat de gMSA- en domeingebruiker deel uitmaken van de lokale beheerdersgroep.

Probleem: de gebruikersnaam> van het accountdomein <en <het domein gMSA> kunnen niet worden toegevoegd aan de lokale groep Administrators op de testbeheerservers of zijn niet behouden in de groep na het bijwerken van groepsbeleid

Oplossing: Zorg ervoor dat de opgegeven domeingebruikersnaam en gMSA-invoer juist zijn, inclusief de volledige naam (domein\account). Controleer ook of er groepsbeleid is op uw testcomputer die de lokale groep Administrators overschrijft vanwege beleidsregels die zijn gemaakt op organisatie-eenheid of domeinniveau. gMSA en domeingebruiker moeten deel uitmaken van de lokale beheerdersgroep om SCOM Managed Instance te laten werken. SCOM Managed Instance-machines moeten worden uitgesloten van beleid dat de lokale beheerdersgroep overschrijft (werk samen met AD-beheerder).

Probleem: SCOM Managed Instance is mislukt

Oorzaak: Een groepsbeleid in uw domein (naam: naam van <groepsbeleid>) overschrijft de lokale groep Administrators op testbeheerservers, ofwel op de organisatie-eenheid die de servers of de hoofdmap van het domein bevat.

Oplossing: Zorg ervoor dat de OE voor SCOM Managed Instance Management Servers (<OE-pad>) niet wordt beïnvloed door geen beleid dat de groep overschrijft.

Algemene stappen voor probleemoplossing voor groepsbeleidsvalidaties

  1. Genereer een nieuwe virtuele machine (VM) die wordt uitgevoerd op Windows Server 2022 of 2019 binnen het gekozen subnet voor het maken van een beheerd SCOM-exemplaar. Meld u aan bij de VIRTUELE machine en configureer de DNS-server om hetzelfde DNS-IP-adres te gebruiken dat is gebruikt tijdens het maken van het beheerde SCOM-exemplaar.

  2. U kunt de onderstaande stapsgewijze instructies volgen of als u bekend bent met PowerShell, voert u de specifieke controle uit die wordt aangeroepen Invoke-ValidateLocalAdminOverideByGPO in het script ScomValidation.ps1 . Zie Algemene richtlijnen voor het uitvoeren van het validatiescript op uw testcomputer voor meer informatie over het onafhankelijk uitvoeren van het validatiescript.

  3. Koppel de VIRTUELE machine aan een domein met behulp van het domeinaccount dat wordt gebruikt bij het maken van een beheerd SCOM-exemplaar. Als u de virtuele machine wilt toevoegen aan een domein, volgt u de stappen in de sectie Domeindeelnamevalidatie.

  4. Open de PowerShell ISE in de beheermodus en stel Set-ExecutionPolicy in als Onbeperkt.

  5. Voer de volgende opdrachten uit om modules te importeren:

    Add-WindowsFeature RSAT-AD-PowerShell -ErrorAction SilentlyContinue
    Add-WindowsFeature GPMC -ErrorAction SilentlyContinue
    
  6. Voer de volgende opdracht uit om te controleren of de servers lid zijn van het domein:

    (Get-WmiObject -Class Win32_ComputerSystem).PartOfDomain
    

    De opdracht moet Waar retourneren.

  7. Voer de volgende opdracht uit om het bestaan van het gMSA-account te controleren:

    Get-ADServiceAccount -Identity <GmsaAccount>
    
  8. Voer de volgende opdracht uit om de aanwezigheid van gebruikersaccounts in de lokale groep Administrators te valideren:

    $domainJoinCredentials = New-Object pscredential -ArgumentList ("<username>", (ConvertTo-SecureString "password" -AsPlainText -Force)) 
    $addToAdminResult = Add-LocalGroupMember -Group "Administrators" -Member $userName, $gMSAccount -ErrorAction SilentlyContinue 
    $gpUpdateResult = gpupdate /force 
    $LocalAdmins = Get-LocalGroupMember -Group 'Administrators' | Select-Object -ExpandProperty Name
    

    Vervang de <UserName> en <GmsaAccount> door de werkelijke waarden.

  9. Voer de volgende opdracht uit om de gegevens van het domein en de organisatie-eenheid (OE) te bepalen:

    Get-ADOrganizationalUnit -Filter "DistinguishedName -like '$ouPathDN'" -Properties CanonicalName -Credential $domainUserCredentials
    

    Vervang de <OuPathDN> door het werkelijke OE-pad.

  10. Voer de volgende opdracht uit om het groepsbeleidsobjectrapport (Groepsbeleidsobject) op te halen uit het domein en te controleren op het overschrijven van beleidsregels in de lokale groep Administrators:

     [xml]$gpoReport = Get-GPOReport -All -ReportType Xml -Domain <domain name>
     foreach ($GPO in $gpoReport.GPOS.GPO) {
         # Check if the GPO links to the entire domain, or the input OU if provided
         if (($GPO.LinksTo.SOMPath -eq $domainName) -or ($GPO.LinksTo.SOMPath -eq $ouPathCN)) {
             # Check if there is a policy overriding the Local Users and Groups
             if ($GPO.Computer.ExtensionData.Extension.LocalUsersAndGroups.Group) {
             $GroupPolicy = $GPO.Computer.ExtensionData.Extension.LocalUsersAndGroups.Group | Select-Object @{Name='RemoveUsers';Expression={$_.Properties.deleteAllUsers}},@{Name='RemoveGroups';Expression={$_.Properties.deleteAllGroups}},@{Name='GroupName';Expression={$_.Properties.groupName}}
             # Check if the policy is acting on the BUILTIN\Administrators group, and whether it is removing other users or groups
             if (($GroupPolicy.groupName -eq "Administrators (built-in)") -and (($GroupPolicy.RemoveUsers -eq 1) -or ($GroupPolicy.RemoveGroups -eq 1))) {
              $overridingPolicyFound = $true
              $overridingPolicyName = $GPO.Name
                 }
             }
         }
     }
     if($overridingPolicyFound) {
      Write-Warning "Validation failed. A group policy in your domain (name: $overridingPolicyName) is overriding the local Administrators group on this machine. This will cause SCOM MI installation to fail. Please ensure that the OU for SCOM MI Management Servers is not affected by this policy"
     }
     else {
      Write-Output "Validation suceeded. No group policy found in your domain which overrides local Administrators. "
     }
    

Als de uitvoering van het script een waarschuwing geeft als Validatie mislukt, is er beleid (naam zoals in het waarschuwingsbericht) waarmee de lokale beheerdersgroep wordt overschreven. Neem contact op met de Active Directory-beheerder en sluit de System Center Operations Manager-beheerserver uit van het beleid.