Partilhar via

Solucionar erros comumente encontrados ao validar parâmetros de entrada

  • Artigo

Este artigo descreve os erros que podem ocorrer durante a validação de parâmetros de entrada e como resolvê-los.

Se você encontrar algum problema ao criar parâmetros locais, use este script para obter assistência.

Esse script foi projetado para ajudar a solucionar e resolver problemas relacionados à criação de parâmetros locais. Acesse o script e utilize suas funcionalidades para resolver quaisquer dificuldades que você possa encontrar durante a criação de parâmetros locais.

Siga estas etapas para executar o script:

  1. Baixe o script e execute-o com a opção -Help para obter os parâmetros.
  2. Inicie sessão com credenciais de domínio numa máquina associada a um domínio. A máquina deve estar em um domínio usado para a Instância Gerenciada SCOM. Depois de entrar, execute o script com os parâmetros especificados.
  3. Se alguma validação falhar, execute as ações corretivas sugeridas pelo script e execute novamente o script até que ele passe em todas as validações.
  4. Quando todas as validações forem bem-sucedidas, use os mesmos parâmetros usados no script, por exemplo, a criação.

Verificações e detalhes de validação

Validação Description
Verificações de validação de entrada do Azure
Configurando pré-requisitos na máquina de teste 1. Instale o módulo do AD PowerShell.
2. Instale o módulo PowerShell de Política de Grupo.
Ligação à Internet Verifica se a conectividade de saída com a Internet está disponível nos servidores de teste.
Conectividade SQL MI Verifica se o SQL MI fornecido está acessível a partir da rede na qual os servidores de teste são criados.
Conectividade do servidor DNS Verifica se o IP do Servidor DNS fornecido está acessível e resolvido para um Servidor DNS válido.
Conectividade de domínio Verifica se o nome de domínio fornecido está acessível e resolvido para um domínio válido.
Validação de ingresso no domínio Verifica se a associação ao domínio é bem-sucedida usando o caminho da UO fornecido e as credenciais de domínio.
Associação de IP estático e LB FQDN Verifica se um registro DNS foi criado para o IP estático fornecido em relação ao nome DNS fornecido.
Validações de grupos de computadores Verifica se o grupo de computadores fornecido é gerenciado pelo usuário de domínio fornecido e o gerente pode atualizar a associação ao grupo.
Validações de conta gMSA Verifica se o gMSA fornecido:
- Está ativado.
- Tem seu nome de host DNS definido para o nome DNS fornecido do LB.
- Tem um comprimento de nome de conta SAM de 15 caracteres ou menos.
- Tem o conjunto certo de SPNs.
A senha pode ser recuperada por membros do grupo de computadores fornecido.
Validações de política de grupo Verifica se o domínio (ou o Caminho da UO, que hospeda os servidores de gerenciamento) é afetado por qualquer política de grupo, o que alterará o grupo Administradores local.
Limpeza pós-validação Cancelar associação do domínio.

Diretrizes gerais para executar scripts de validação

Durante o processo de integração, uma validação é realizada na etapa/guia de validação. Se todas as validações forem bem-sucedidas, você poderá prosseguir para o estágio final de criação da Instância Gerenciada SCOM. No entanto, se alguma validação falhar, você não poderá prosseguir com a criação.

Nos casos em que várias validações falham, a melhor abordagem é resolver todos os problemas de uma só vez executando manualmente um script de validação em uma máquina de teste.

Importante

Inicialmente, crie uma nova máquina virtual (VM) de teste do Windows Server (2022/2019) na mesma sub-rede selecionada para a criação da Instância Gerenciada SCOM. Posteriormente, tanto o administrador do AD quanto o administrador da rede podem utilizar individualmente essa VM para verificar a eficácia de suas respetivas alterações. Essa abordagem economiza significativamente o tempo gasto na comunicação de ida e volta entre o administrador do AD e o administrador da rede.

Siga estas etapas para executar o script de validação:

  1. Gere uma nova máquina virtual (VM) em execução no Windows Server 2022 ou 2019 dentro da sub-rede escolhida para a criação da Instância Gerenciada SCOM. Entre na VM e configure seu servidor DNS para usar o mesmo IP DNS que foi utilizado durante a criação da Instância Gerenciada SCOM. Por exemplo, veja abaixo:

    Captura de ecrã das propriedades.

  2. Baixe o script de validação para a VM de teste e extraia. É composto por cinco ficheiros:

    • ScomValidation.ps1
    • RunValidationAsSCOMAdmin.ps1
    • RunValidationAsActiveDirectoryAdmin.ps1
    • RunValidationAsNetworkAdmin.ps1
    • Readme.txt

  3. Siga as etapas mencionadas no arquivo Readme.txt para executar o RunValidationAsSCOMAdmin.ps1. Certifique-se de preencher o valor de configurações em RunValidationAsSCOMAdmin.ps1 com os valores aplicáveis antes de executá-lo.

    # $settings = @{
#   Configuration = @{
#         DomainName="test.com"                 
#         OuPath= "DC=test,DC=com"           
#         DNSServerIP = "190.36.1.55"           
#         UserName="test\testuser"              
#         Password = "password"                 
#         SqlDatabaseInstance= "test-sqlmi-instance.023a29518976.database.windows.net" 
#         ManagementServerGroupName= "ComputerMSG"      
#         GmsaAccount= "test\testgMSA$"
#         DnsName= "lbdsnname.test.com"
#         LoadBalancerIP = "10.88.78.200"
#     }
# }
# Note : Before running this script, please make sure you have provided all the parameters in the settings
$settings = @{
Configuration = @{
DomainName="<domain name>"
OuPath= "<OU path>"
DNSServerIP = "<DNS server IP>"
UserName="<domain user name>"
Password = "<domain user password>"
SqlDatabaseInstance= "<SQL MI Host name>"
ManagementServerGroupName= "<Computer Management server group name>"
GmsaAccount= "<GMSA account>"
DnsName= "<DNS name associated with the load balancer IP address>"
LoadBalancerIP = "<Load balancer IP address>"
}
}

  4. Em geral, RunValidationAsSCOMAdmin.ps1 executa todas as validações. Se você deseja executar uma verificação específica, abra ScomValidation.ps1 e comente todas as outras verificações, que estão no final do arquivo. Você também pode adicionar ponto de interrupção na verificação específica para depurar a verificação e entender melhor os problemas.

        # Default mode is - SCOMAdmin, by default if mode is not passed then it will run all the validations  

    # adding all the checks to result set 

    try { 

        # Connectivity checks 

        $validationResults += Invoke-ValidateStorageConnectivity $settings 

        $results = ConvertTo-Json $validationResults -Compress 

         

        $validationResults += Invoke-ValidateSQLConnectivity $settings 

        $results = ConvertTo-Json $validationResults -Compress 

 

        $validationResults += Invoke-ValidateDnsIpAddress $settings 

        $results = ConvertTo-Json $validationResults -Compress 

 

        $validationResults += Invoke-ValidateDomainControllerConnectivity $settings 

        $results = ConvertTo-Json $validationResults -Compress 

 

        # Parameter validations 

        $validationResults += Invoke-ValidateDomainJoin $settings 

        $results = ConvertTo-Json $validationResults -Compress 

 

        $validationResults += Invoke-ValidateStaticIPAddressAndDnsname $settings 

        $results = ConvertTo-Json $validationResults -Compress 

 

        $validationResults += Invoke-ValidateComputerGroup $settings 

        $results = ConvertTo-Json $validationResults -Compress 

 

        $validationResults += Invoke-ValidategMSAAccount $settings 

        $results = ConvertTo-Json $validationResults -Compress 

             

        $validationResults += Invoke-ValidateLocalAdminOverideByGPO $settings 

        $results = ConvertTo-Json $validationResults -Compress 

    } 

    catch { 

        Write-Verbose -Verbose  $_ 

    }

  1. O script de validação exibe todas as verificações de validação e seus respetivos erros, o que ajudará a resolver os problemas de validação. Para uma resolução rápida, execute o script no PowerShell ISE com ponto de interrupção, o que pode acelerar o processo de depuração.

    Se todas as verificações forem aprovadas com sucesso, retorne à página de integração e reinicie o processo de integração novamente.

Ligação à Internet

Problema: a conectividade de saída com a Internet não existe nos servidores de teste

Causa: Ocorre devido a um IP de servidor DNS incorreto ou a uma configuração de rede incorreta.

Resolução:

  1. Verifique o IP do Servidor DNS e certifique-se de que o Servidor DNS está instalado e em execução.
  2. Certifique-se de que a rede virtual, que está sendo usada para a criação da instância gerenciada SCOM, tenha linha de visão para o servidor DNS.

Problema: não é possível conectar-se à conta de armazenamento para baixar bits de produto da instância gerenciada SCOM

Causa: Ocorre devido a um problema com a sua conectividade com a Internet.

Resolução: verifique se a rede virtual que está sendo usada para a criação da Instância Gerenciada SCOM tem acesso de saída à Internet criando uma máquina virtual de teste na mesma sub-rede que a Instância Gerenciada SCOM e teste a conectividade de saída da máquina virtual de teste.

Problema: falha no teste de conectividade com a Internet. Os pontos de extremidade necessários não podem ser acessados a partir da VNet

Causa: Ocorre devido a um IP de servidor DNS incorreto ou a uma configuração de rede incorreta.

Resolução:

  • Verifique o IP do Servidor DNS e certifique-se de que o Servidor DNS está instalado e em execução.

  • Certifique-se de que a rede virtual, que está sendo usada para a criação da instância gerenciada SCOM, tenha linha de visão para o servidor DNS.

  • Verifique se a Instância Gerenciada SCOM tem acesso de saída à Internet e se o NSG/Firewall está configurado corretamente para permitir o acesso aos pontos de extremidade necessários, conforme descrito nos requisitos de firewall.

Etapas gerais de solução de problemas para conectividade com a Internet

  1. Gere uma nova máquina virtual (VM) em execução no Windows Server 2022 ou 2019 dentro da sub-rede escolhida para a criação da Instância Gerenciada SCOM. Entre na VM e configure seu servidor DNS para usar o mesmo IP DNS que foi utilizado durante a criação da Instância Gerenciada SCOM.

  2. Você pode seguir as instruções passo a passo fornecidas abaixo ou, se estiver familiarizado com o PowerShell, executar a verificação específica chamada Invoke-ValidateStorageConnectivity no script ScomValidation.ps1 . Para obter mais informações sobre como executar o script de validação independentemente em sua máquina de teste, consulte Diretrizes gerais para executar o script de validação.

  3. Abra o ISE do PowerShell no modo admin e defina Set-ExecutionPolicy como Unrestricted.

  4. Para verificar a conectividade com a Internet, execute o seguinte comando:

    Test-NetConnection www.microsoft.com -Port 80

    Este comando verifica a conectividade com www.microsoft.com na porta 80. Se isso falhar, isso indica um problema com a conectividade de saída com a Internet.

  5. Para verificar as configurações de DNS, execute o seguinte comando:

    Get-DnsClientServerAddress

    Este comando recupera os endereços IP do servidor DNS configurados na máquina. Verifique se as configurações de DNS estão corretas e acessíveis.

  6. Para verificar a configuração de rede, execute o seguinte comando:

    Get-NetIPConfiguration

    Este comando exibe os detalhes da configuração de rede. Verifique se as configurações de rede são precisas e correspondem ao seu ambiente de rede.

Conectividade SQL MI

Problema: a conectividade de saída com a Internet não existe nos servidores de teste

Causa: Ocorre devido a um IP do servidor DNS incorreto ou a uma configuração de rede incorreta.

Resolução:

  1. Verifique o IP do Servidor DNS e certifique-se de que o Servidor DNS está instalado e em execução.
  2. Certifique-se de que a rede virtual, que está sendo usada para a criação da instância gerenciada SCOM, tenha linha de visão para o servidor DNS.

Problema: Falha ao configurar o login de banco de dados para MSI na instância gerenciada SQL

Causa: Ocorre quando o MSI não está configurado corretamente para acessar a instância gerenciada do SQL.

Resolução: verifique se o MSI está configurado como Microsoft Entra Admin na instância gerenciada do SQL. Certifique-se de que as permissões necessárias do Microsoft Entra ID sejam fornecidas à instância gerenciada SQL para que a autenticação MSI funcione.

Problema: Falha ao se conectar ao SQL MI a partir desta instância

Causa: ocorre quando a VNet SQL MI não está delegada ou não está emparelhada corretamente com a VNet da Instância Gerenciada SCOM.

Resolução:

  1. Verifique se o SQL MI está configurado corretamente.
  2. Certifique-se de que a VNet, que está sendo usada para a criação de instância gerenciada SCOM, tenha linha de visão para o SQL MI, seja por estar na mesma VNet ou por emparelhamento de VNet.

Etapas gerais de solução de problemas para conectividade SQL MI

  1. Gere uma nova máquina virtual (VM) em execução no Windows Server 2022 ou 2019 dentro da sub-rede escolhida para a criação da Instância Gerenciada SCOM. Entre na VM e configure seu servidor DNS para usar o mesmo IP DNS que foi utilizado durante a criação da Instância Gerenciada SCOM.

  2. Você pode seguir as instruções passo a passo fornecidas abaixo ou, se estiver familiarizado com o PowerShell, executar a verificação específica chamada Invoke-ValidateSQLConnectivity no script ScomValidation.ps1 . Para obter mais informações sobre como executar o script de validação independentemente em sua máquina de teste, consulte Diretrizes gerais para executar o script de validação.

  3. Abra o ISE do PowerShell no modo admin e defina Set-ExecutionPolicy como Unrestricted.

  4. Para verificar a conectividade de saída com a Internet, execute o seguinte comando:

    Test-NetConnection -ComputerName "www.microsoft.com" -Port 80

    Este comando verifica a conectividade de saída com a Internet tentando estabelecer uma conexão com www.microsoft.com na porta 80. Se a conexão falhar, isso indica um problema potencial com a conectividade com a Internet.

  5. Para verificar as definições de DNS e a configuração de rede, certifique-se de que os endereços IP do servidor DNS estão corretamente configurados e valide as definições de configuração de rede na máquina onde a validação está a ser efetuada.

  6. Para testar a conexão SQL MI, execute o seguinte comando:

    Test-NetConnection -ComputerName $sqlMiName -Port 1433

    Substitua $sqlMiName pelo nome do host SQL MI.

    Este comando testa a conexão com a instância do SQL MI. Se a conexão for bem-sucedida, isso indica que o SQL MI está acessível.

Conectividade do servidor DNS

Problema: O IP DNS fornecido (<IP> DNS) está incorreto ou o servidor DNS não está acessível

Resolução: verifique o IP do Servidor DNS e verifique se o Servidor DNS está ativo e funcionando.

Solução de problemas gerais para conectividade de servidor DNS

  1. Gere uma nova máquina virtual (VM) em execução no Windows Server 2022 ou 2019 dentro da sub-rede escolhida para a criação da Instância Gerenciada SCOM. Entre na VM e configure seu servidor DNS para usar o mesmo IP DNS que foi utilizado durante a criação da Instância Gerenciada SCOM.

  2. Você pode seguir as instruções passo a passo fornecidas abaixo ou, se estiver familiarizado com o PowerShell, executar a verificação específica chamada Invoke-ValidateDnsIpAddress no script ScomValidation.ps1 . Para obter mais informações sobre como executar o script de validação independentemente em sua máquina de teste, consulte Diretrizes gerais para executar o script de validação.

  3. Abra o ISE do PowerShell no modo admin e defina Set-ExecutionPolicy como Unrestricted.

  4. Para verificar a resolução DNS para o endereço IP especificado, execute o seguinte comando:

    Resolve-DnsName -Name $ipAddress -IssueAction SilentlyContinue

    Substitua $ipAddress pelo endereço IP que deseja validar.

    Este comando verifica a resolução DNS para o endereço IP fornecido. Se o comando não retornar nenhum resultado ou gerar um erro, ele indicará um possível problema com a resolução de DNS.

  5. Para verificar a conectividade de rede com o endereço IP, execute o seguinte comando:

    Test-NetConnection -ComputerName $ipAddress -Port 80

    Substitua $ipAddress pelo endereço IP que deseja testar.

    Este comando verifica a conectividade de rede com o endereço IP especificado na porta 80. Se a conexão falhar, isso sugere um problema de conectividade de rede.

Conectividade de domínio

Problema: o controlador de domínio para nome> de domínio <não está acessível a partir desta rede ou a porta não está aberta em pelo menos um controlador de domínio

Causa: Ocorre devido a um problema com o IP do servidor DNS fornecido ou com a configuração de rede.

Resolução:

  1. Verifique o IP do Servidor DNS e certifique-se de que o Servidor DNS está instalado e em execução.
  2. Verifique se a resolução de nome de domínio está direcionada corretamente para o Controlador de Domínio (DC) designado configurado para a Instância Gerenciada do Azure ou SCOM. Confirme se este DC está listado na parte superior entre os DCs resolvidos. Se a resolução for direcionada para servidores DC diferentes, isso indica um problema com a resolução de domínio do AD.
  3. Verifique o nome de domínio e verifique se o controlador de domínio configurado para o Azure e a Instância Gerenciada SCOM está ativo e em execução.

    Nota

    As portas 9389, 389/636, 88, 3268/3269, 135, 445 devem estar abertas no DC configurado para Azure ou Instância Gerenciada SCOM e todos os serviços no DC devem estar em execução.

Etapas gerais de solução de problemas para conectividade de domínio

  1. Gere uma nova máquina virtual (VM) em execução no Windows Server 2022 ou 2019 dentro da sub-rede escolhida para a criação da Instância Gerenciada SCOM. Entre na VM e configure seu servidor DNS para usar o mesmo IP DNS que foi utilizado durante a criação da Instância Gerenciada SCOM.

  2. Você pode seguir as instruções passo a passo fornecidas abaixo ou, se estiver familiarizado com o PowerShell, executar a verificação específica chamada Invoke-ValidateDomainControllerConnectivity no script ScomValidation.ps1 . Para obter mais informações sobre como executar o script de validação independentemente em sua máquina de teste, consulte Diretrizes gerais para executar o script de validação.

  3. Abra o ISE do PowerShell no modo admin e defina Set-ExecutionPolicy como Unrestricted.

  4. Para verificar a acessibilidade do controlador de domínio, execute o seguinte comando:

    Resolve-DnsName -Name $domainName

    Substitua $domainName pelo nome do domínio que você deseja testar.

    Verifique se a resolução de nome de domínio está direcionada corretamente para o Controlador de Domínio (DC) designado configurado para a Instância Gerenciada do Azure ou SCOM. Confirme se este DC está listado na parte superior entre os DCs resolvidos. Se a resolução for direcionada para servidores DC diferentes, isso indica um problema com a resolução de domínio do AD.

  5. Para verificar as configurações do servidor DNS:

    • Verifique se as configurações do servidor DNS na máquina que executa a validação estão configuradas corretamente.
    • Verifique se os endereços IP do servidor DNS são precisos e acessíveis.

  6. Para validar a configuração de rede:

    • Verifique as definições de configuração de rede na máquina onde a validação está sendo executada.
    • Verifique se a máquina está conectada à rede correta e tem as configurações de rede necessárias para se comunicar com o controlador de domínio.

  7. Para testar a porta necessária no controlador de domínio, execute o seguinte comando:

    Test-NetConnection -ComputerName $domainName -Port $portToCheck

    Substitua $domainName pelo nome do domínio que você deseja testar e $portToCheck por cada porta do seguinte número de lista:

    • 389/636
    • 88
    • 3268/3269
    • 135
    • 445

    Execute o comando fornecido para todas as portas acima.

    Este comando verifica se a porta especificada está aberta no controlador de domínio designado configurado para a criação da Instância Gerenciada do Azure ou SCOM. Se o comando mostrar uma conexão bem-sucedida, ele indica que as portas necessárias estão abertas.

Validação de ingresso no domínio

Problema: os servidores de gerenciamento de teste não conseguiram ingressar no domínio

Causa: Ocorre devido a um caminho de UO incorreto, credenciais incorretas ou um problema na conectividade de rede.

Resolução:

  1. Verifique as credenciais criadas no cofre da chave. O segredo do nome de usuário e da senha deve refletir o nome de usuário correto e o formato do valor do nome de usuário deve ser domínio\nome de usuário e senha, que têm permissões para ingressar uma máquina no domínio. Por padrão, as contas de usuário só podem adicionar até 10 computadores ao domínio. Para configurar, consulte Limite padrão para número se estações de trabalho um usuário pode ingressar no domínio.
  2. Verifique se o caminho da UO está correto e não impede que novos computadores ingressem no domínio.

Etapas gerais de solução de problemas para validação de ingresso no domínio

  1. Gere uma nova máquina virtual (VM) em execução no Windows Server 2022 ou 2019 dentro da sub-rede escolhida para a criação da Instância Gerenciada SCOM. Entre na VM e configure seu servidor DNS para usar o mesmo IP DNS que foi utilizado durante a criação da Instância Gerenciada SCOM.

  2. Você pode seguir as instruções passo a passo fornecidas abaixo ou, se estiver familiarizado com o PowerShell, executar a verificação específica chamada Invoke-ValidateDomainJoin no script ScomValidation.ps1 . Para obter mais informações sobre como executar o script de validação independentemente em sua máquina de teste, consulte Diretrizes gerais para executar o script de validação.

  3. Abra o ISE do PowerShell no modo admin e defina Set-ExecutionPolicy como Unrestricted.

  4. Junte a VM a um domínio usando a conta de domínio usada na criação da Instância Gerenciada SCOM. Para unir o domínio a uma máquina usando credenciais, execute o seguinte comando:

    
$domainName = "<domainname>"


$domainJoinCredentials = New-Object pscredential -ArgumentList ("<username>", (ConvertTo-SecureString "password" -AsPlainText -Force))



$ouPath = "<OU path>"
if (![String]::IsNullOrWhiteSpace($ouPath)) {
$domainJoinResult = Add-Computer -DomainName $domainName -Credential $domainJoinCredentials -OUPath $ouPath -Force -WarningAction SilentlyContinue -ErrorAction SilentlyContinue
}
else {
$domainJoinResult = Add-Computer -DomainName $domainName -Credential $domainJoinCredentials -Force -WarningAction SilentlyContinue -ErrorAction SilentlyContinue
}

    Substitua o nome de usuário, senha, $domainName $ouPath pelos valores corretos.

    Depois de executar o comando acima, execute o seguinte comando para verificar se a máquina ingressou no domínio com êxito:

    Get-WmiObject -Class Win32_ComputerSystem | Select-Object -ExpandProperty PartOfDomain

Associação de IP estático e LB FQDN

Problema: não foi possível executar testes porque os servidores não conseguiram ingressar no domínio

Resolução: certifique-se de que as máquinas podem ingressar no domínio. Siga as etapas de solução de problemas da seção Validação de ingresso no domínio.

Problema: Não foi possível resolver o Nome DNS do Nome <> DNS

Resolução: o Nome DNS fornecido não existe nos registros DNS. Verifique o nome DNS e verifique se ele está corretamente associado ao IP estático fornecido.

Problema: o IP <estático fornecido e o Nome>> DNS DNS do Balanceador <de Carga não correspondem

Resolução: verifique os registros DNS e forneça a combinação correta de Nome DNS/IP estático. Para obter mais informações, consulte Criar um IP estático e configurar o nome DNS.

Etapas gerais de solução de problemas para associação de IP estático e LB FQDN

  1. Gere uma nova máquina virtual (VM) em execução no Windows Server 2022 ou 2019 dentro da sub-rede escolhida para a criação da Instância Gerenciada SCOM. Entre na VM e configure seu servidor DNS para usar o mesmo IP DNS que foi utilizado durante a criação da Instância Gerenciada SCOM.

  2. Você pode seguir as instruções passo a passo fornecidas abaixo ou, se estiver familiarizado com o PowerShell, executar a verificação específica chamada Invoke-ValidateStaticIPAddressAndDnsname no script ScomValidation.ps1 . Para obter mais informações sobre como executar o script de validação independentemente em sua máquina de teste, consulte Diretrizes gerais para executar o script de validação.

  3. Abra o ISE do PowerShell no modo admin e defina Set-ExecutionPolicy como Unrestricted.

  4. Junte a máquina virtual a um domínio usando a conta de domínio usada na criação da Instância Gerenciada SCOM. Para associar a máquina virtual ao domínio, siga as etapas fornecidas na seção Validação de associação de domínio.

  5. Obtenha o endereço IP e o nome DNS associado e execute os seguintes comandos para ver se correspondem. Resolva o nome DNS e busque o endereço IP real:

    $DNSRecord = Resolve-DnsName -Name $DNSName
$ActualIP = $DNSRecord.IPAddress

    Se o nome DNS não puder ser resolvido, certifique-se de que o nome DNS é válido e associado ao endereço IP real.

Validações de grupos de computadores

Problema: o teste não pôde ser executado porque os servidores não conseguiram ingressar no domínio

Resolução: certifique-se de que as máquinas podem ingressar no domínio. Siga as etapas de solução de problemas especificadas na seção Validação de ingresso no domínio.

Problema: não foi possível encontrar no seu domínio o nome do grupo de computadores com o nome <> do grupo de computadores

Resolução: verifique a existência do grupo e verifique o nome fornecido ou crie um novo, caso ainda não tenha sido criado.

Problema: o nome> do grupo <de computadores de entrada não é gerenciado pelo nome de usuário do domínio do usuário <>

Resolução: navegue até as propriedades do grupo e defina esse usuário como o gerente. Para obter mais informações, consulte Criar e configurar um grupo de computadores.

Problema: o <nome> de usuário do domínio do gerenciador do nome> do grupo <de computadores de entrada não tem as permissões necessárias para gerenciar a associação ao grupo

Resolução: navegue até as propriedades do Grupo e marque a caixa de seleção Gerenciar pode atualizar a lista de membros. Para obter mais informações, consulte Criar e configurar um grupo de computadores.

Etapas gerais de solução de problemas para validações de grupos de computadores

  1. Gere uma nova máquina virtual (VM) em execução no Windows Server 2022 ou 2019 dentro da sub-rede escolhida para a criação da Instância Gerenciada SCOM. Entre na VM e configure seu servidor DNS para usar o mesmo IP DNS que foi utilizado durante a criação da Instância Gerenciada SCOM.

  2. Você pode seguir as instruções passo a passo fornecidas abaixo ou, se estiver familiarizado com o PowerShell, executar a verificação específica chamada Invoke-ValidateComputerGroup no script ScomValidation.ps1 . Para obter mais informações sobre como executar o script de validação independentemente em sua máquina de teste, consulte Diretrizes gerais para executar o script de validação.

  3. Junte a VM a um domínio usando a conta de domínio usada na criação da Instância Gerenciada SCOM. Para associar a máquina virtual ao domínio, siga as etapas fornecidas na seção Validação de associação de domínio.

  4. Abra o ISE do PowerShell no modo admin e defina Set-ExecutionPolicy como Unrestricted.

  5. Execute o seguinte comando para importar módulos:

    Add-WindowsFeature RSAT-AD-PowerShell -ErrorAction SilentlyContinue
Add-WindowsFeature GPMC -ErrorAction SilentlyContinue

  6. Para verificar se a VM está associada ao domínio, execute o seguinte comando:

    Get-WmiObject -Class Win32_ComputerSystem | Select-Object -ExpandProperty PartOfDomain

  7. Para verificar a existência do domínio e se a máquina atual já está associada ao domínio, execute o seguinte comando:

    $domainJoinCredentials = New-Object pscredential -ArgumentList ("<username>", (ConvertTo-SecureString "password" -AsPlainText -Force)) 
$Domain = Get-ADDomain -Current LocalComputer -Credential $domainUserCredentials

    Substitua $username, password por valores aplicáveis.

  8. Para verificar a existência do usuário no domínio, execute o seguinte comando:

    $DomainUser = Get-ADUser -Identity $username -Credential $domainUserCredentials

    Substituir $username, $domainUserCredentials por valores aplicáveis

  9. Para verificar a existência do grupo de computadores no domínio, execute o seguinte comando:

    $ComputerGroup = Get-ADGroup -Identity $computerGroupName -Properties ManagedBy,DistinguishedName -Credential $domainUserCredentials

    Substitua $computerGroupName, $domainUserCredentials por valores aplicáveis.

  10. Se o usuário e o grupo de computadores existirem, determine se o usuário é o gerente do grupo de computadores.

    Import-Module ActiveDirectory
  	$DomainDN = $Domain.DistinguishedName
  $GroupDN = $ComputerGroup.DistinguishedName
 $RightsGuid = [GUID](Get-ItemProperty "AD:\CN=Self-Membership,CN=Extended-Rights,CN=Configuration,$DomainDN" -Name rightsGuid -Credential $domainUserCredentials | Select-Object -ExpandProperty rightsGuid)

  # Run Get ACL under the give credentials
  $job = Start-Job -ScriptBlock {
      param (
          [Parameter(Mandatory = $true)]
          [string] $GroupDN,
          [Parameter(Mandatory = $true)]
          [GUID] $RightsGuid
      )

  Import-Module ActiveDirectory
  $AclRule = (Get-Acl -Path "AD:\$GroupDN").GetAccessRules($true,$true,[System.Security.Principal.SecurityIdentifier]) |  Where-Object {($_.ObjectType -eq $RightsGuid) -and ($_.ActiveDirectoryRights -like '*WriteProperty*')}
      return $AclRule

  } -ArgumentList $GroupDN, $RightsGuid -Credential $domainUserCredentials

  $timeoutSeconds = 20
  $jobResult = Wait-Job $job -Timeout $timeoutSeconds

  # Job did not complete within the timeout
  if ($null -eq $jobResult) {
      Write-Host "Checking permissions, timeout after 10 seconds."
      Remove-Job $job -Force
  } else {
      # Job completed within the timeout
      $AclRule = Receive-Job $job
      Remove-Job $job -Force
  }

  $managerCanUpdateMembership = $false
  if (($null -ne $AclRule) -and ($AclRule.AccessControlType -eq 'Allow') -and ($AclRule.IdentityReference -eq $DomainUser.SID)) {
      $managerCanUpdateMembership = $true

    Se managerCanUpdateMembership for True, o usuário do domínio tem permissão de associação de atualização no grupo de computadores. Se managerCanUpdateMembership for False, conceda permissão de gerenciamento ao grupo de computadores ao usuário do domínio.

Validações de conta gMSA

Problema: o teste não é executado porque os servidores não conseguiram ingressar no domínio

Resolução: certifique-se de que as máquinas podem ingressar no domínio. Siga as etapas de solução de problemas especificadas na seção Validação de ingresso no domínio.

Problema: o grupo de computadores com o nome <do grupo> de computadores não foi encontrado no seu domínio. Os membros deste grupo devem ser capazes de recuperar a senha gMSA

Resolução: verifique a existência do grupo e verifique o nome fornecido.

Problema: gMSA com domínio de nome <gMSA> não pôde ser encontrado no seu domínio

Resolução: verifique a existência da conta gMSA e verifique o nome fornecido ou crie uma nova, caso ainda não tenha sido criada.

Problema: o domínio gMSA <gMSA> não está ativado

Resolução: habilite-o usando o seguinte comando:

Set-ADServiceAccount -Identity <domain gMSA> -Enabled $true

Problema: o domínio gMSA <gMSA> precisa ter seu Nome de Host DNS definido como <Nome DNS>

Resolução: o gMSA não tem a DNSHostName propriedade definida corretamente. Defina a DNSHostName propriedade usando o seguinte comando:

Set-ADServiceAccount -Identity <domain gMSA> -DNSHostName <DNS Name>

Problema: O nome da conta Sam para o domínio gMSA <gMSA> excede o limite de 15 caracteres

Resolução: defina o SamAccountName seguinte comando:

Set-ADServiceAccount -Identity <domain gMSA> -SamAccountName <shortname$>

Problema: o nome> do grupo de computadores do Grupo <de Computadores precisa ser definido como PrincipalsAllowedToRetrieveManagedPassword para o domínio gMSA <gMSA>

Resolução: o gMSA não está PrincipalsAllowedToRetrieveManagedPassword configurado corretamente. Defina o PrincipalsAllowedToRetrieveManagedPassword usando o seguinte comando:

Set-ADServiceAccount -Identity <domain gMSA> - PrincipalsAllowedToRetrieveManagedPassword <computer group name>

Problema: os SPNs não foram definidos corretamente para o domínio gMSA <gMSA>

Resolução: o gMSA não tem os Nomes de Entidade de Serviço corretos definidos. Defina os nomes da entidade de serviço usando o seguinte comando:

Set-ADServiceAccount -Identity <domain gMSA> -ServicePrincipalNames <set of SPNs>

Etapas gerais de solução de problemas para validações de conta gMSA

  1. Gere uma nova máquina virtual (VM) em execução no Windows Server 2022 ou 2019 dentro da sub-rede escolhida para a criação da Instância Gerenciada SCOM. Entre na VM e configure seu servidor DNS para usar o mesmo IP DNS que foi utilizado durante a criação da Instância Gerenciada SCOM.

  2. Você pode seguir as instruções passo a passo fornecidas abaixo ou, se estiver familiarizado com o PowerShell, executar a verificação específica chamada Invoke-ValidategMSAAccount no script ScomValidation.ps1 . Para obter mais informações sobre como executar o script de validação independentemente em sua máquina de teste, consulte Diretrizes gerais para executar o script de validação.

  3. Junte a VM a um domínio usando a conta de domínio usada na criação da Instância Gerenciada SCOM. Para associar a máquina virtual ao domínio, siga as etapas fornecidas na seção Validação de associação de domínio.

  4. Abra o ISE do PowerShell no modo admin e defina Set-ExecutionPolicy como Unrestricted.

  5. Execute o seguinte comando para importar módulos:

    Add-WindowsFeature RSAT-AD-PowerShell -ErrorAction SilentlyContinue
Add-WindowsFeature GPMC -ErrorAction SilentlyContinue

  6. Para verificar se os servidores ingressaram com êxito no domínio, execute o seguinte comando:

    (Get-WmiObject -Class Win32_ComputerSystem).PartOfDomain

  7. Para verificar a existência do grupo de computadores, execute o seguinte comando:

    $Credentials = New-Object pscredential -ArgumentList ("<username>", (ConvertTo-SecureString "password" -AsPlainText -Force))
$adGroup = Get-ADGroup -Identity $computerGroupName -Properties ManagedBy,DistinguishedName -Credential $Credentials

    Substitua username, password e computerGroupName pelos valores aplicáveis.

  8. Para verificar a existência da conta gMSA, execute o seguinte comando:

    $adServiceAccount = Get-ADServiceAccount -Identity gMSAAccountName -Properties DNSHostName,Enabled,PrincipalsAllowedToRetrieveManagedPassword,SamAccountName,ServicePrincipalNames -Credential $Credentials

  9. Para validar as propriedades da conta gMSA, verifique se a conta gMSA está habilitada:

    (Get-ADServiceAccount -Identity <GmsaAccount>).Enabled

    Se o comando retornar False, habilite a conta no domínio.

  10. Para verificar se o Nome de Host DNS da conta gMSA corresponde ao nome DNS fornecido (nome DNS LB), execute os seguintes comandos:

    (Get-ADServiceAccount -Identity <GmsaAccount>).DNSHostName

    Se o comando não retornar o nome DNS esperado, atualize o Nome de Host DNS de gMsaAccount para o nome DNS LB.

  11. Certifique-se de que o Nome da Conta Sam para a conta gMSA não exceda o limite de 15 caracteres:

    (Get-ADServiceAccount -Identity <GmsaAccount>).SamAccountName.Length

  12. Para validar a PrincipalsAllowedToRetrieveManagedPassword propriedade, execute os seguintes comandos:

    Verifique se o Grupo de Computadores especificado está definido como 'PrincipalsAllowedToRetrieveManagedPassword'' para a conta gMSA:

    (Get-ADServiceAccount -Identity <GmsaAccount>).PrincipalsAllowedToRetrieveManagedPassword -contains (Get-ADGroup -Identity <ComputerGroupName>).DistinguishedName

    Substitua gMSAAccount e ComputerGroupName com valores aplicáveis.

  13. Para validar os SPNs (Service Principal Names) para a conta gMSA, execute o seguinte comando:

    $CorrectSPNs = @("MSOMSdkSvc/$dnsHostName", "MSOMSdkSvc/$dnsName", "MSOMHSvc/$dnsHostName", "MSOMHSvc/$dnsName")
(Get-ADServiceAccount -Identity <GmsaAccount>).ServicePrincipalNames

    Verifique se os resultados têm SPNs corretos. Substitua $dnsName pelo nome DNS LB fornecido na criação da Instância Gerenciada SCOM. Substitua $dnsHostName pelo nome abreviado LB DNS. Por exemplo: MSOMHSvc/ContosoLB.domain.com, MSOMHSvc/ContosoLB, MSOMSdkSvc/ContosoLB.domain.com e MSOMSdkSvc/ContosoLB são nomes de entidade de serviço.

Validações de política de grupo

Importante

Para corrigir políticas de GPO, colabore com o administrador do Ative Directory e exclua o System Center Operations Manager das políticas abaixo:

  • GPOs que modificam ou substituem configurações de grupo de administradores locais.
  • GPOs que desativam a autenticação de rede.
  • Avalie os GPOs que impedem o início de sessão remoto para administradores locais.

Problema: este teste não pôde ser executado porque os servidores não conseguiram ingressar no domínio

Resolução: certifique-se de que as máquinas ingressam no domínio. Siga as etapas de solução de problemas da seção Validação de ingresso no domínio.

Problema: gMSA com domínio de nome <gMSA> não pôde ser encontrado no seu domínio. Essa conta precisa ser um administrador local no servidor

Resolução: verifique a existência da conta e verifique se o gMSA e o usuário do domínio fazem parte do grupo de administradores locais.

Problema: o nome> de usuário do domínio das contas <e <o domínio gMSA> não puderam ser adicionados ao grupo Administradores local nos servidores de gerenciamento de teste ou não persistiram no grupo após a atualização da política de grupo

Resolução: verifique se o nome de usuário do domínio e as entradas gMSA fornecidas estão corretas, incluindo o nome completo (domínio\conta). Verifique também se há alguma política de grupo em sua máquina de teste substituindo o grupo Administradores local devido a políticas criadas no nível da UO ou do Domínio. O gMSA e o usuário do domínio devem fazer parte do grupo de administradores locais para que a Instância Gerenciada SCOM funcione. As máquinas de Instância Gerenciada SCOM devem ser excluídas de qualquer política que substitua o grupo de administradores locais (trabalhe com o administrador do AD).

Problema: falha na instância gerenciada SCOM

Causa: uma política de grupo no seu domínio (nome: <nome> da política de grupo) está substituindo o grupo Administradores local nos servidores de gerenciamento de teste, seja na UO que contém os servidores ou na raiz do domínio.

Resolução: certifique-se de que a UO para Servidores de Gerenciamento de Instâncias Gerenciadas SCOM (<Caminho da UO>) não seja afetada por nenhuma política substituir o grupo.

Etapas gerais de solução de problemas para validações de diretiva de grupo

  1. Gere uma nova máquina virtual (VM) em execução no Windows Server 2022 ou 2019 dentro da sub-rede escolhida para a criação da Instância Gerenciada SCOM. Entre na VM e configure seu servidor DNS para usar o mesmo IP DNS que foi utilizado durante a criação da Instância Gerenciada SCOM.

  2. Você pode seguir as instruções passo a passo fornecidas abaixo ou, se estiver familiarizado com o PowerShell, executar a verificação específica chamada Invoke-ValidateLocalAdminOverideByGPO no script ScomValidation.ps1 . Para obter mais informações sobre como executar o script de validação independentemente em sua máquina de teste, consulte Diretrizes gerais para executar o script de validação.

  3. Junte a VM a um domínio usando a conta de domínio usada na criação da Instância Gerenciada SCOM. Para associar a máquina virtual ao domínio, siga as etapas fornecidas na seção Validação de associação de domínio.

  4. Abra o ISE do PowerShell no modo admin e defina Set-ExecutionPolicy como Unrestricted.

  5. Execute os seguintes comandos para importar módulos:

    Add-WindowsFeature RSAT-AD-PowerShell -ErrorAction SilentlyContinue
Add-WindowsFeature GPMC -ErrorAction SilentlyContinue

  6. Para verificar se os servidores ingressaram com êxito no domínio, execute o seguinte comando:

    (Get-WmiObject -Class Win32_ComputerSystem).PartOfDomain

    O comando deve retornar True.

  7. Para verificar a existência da conta gMSA, execute o seguinte comando:

    Get-ADServiceAccount -Identity <GmsaAccount>

  8. Para validar a presença de contas de usuário no grupo Administradores local, execute o seguinte comando:

    $domainJoinCredentials = New-Object pscredential -ArgumentList ("<username>", (ConvertTo-SecureString "password" -AsPlainText -Force)) 
$addToAdminResult = Add-LocalGroupMember -Group "Administrators" -Member $userName, $gMSAccount -ErrorAction SilentlyContinue 
$gpUpdateResult = gpupdate /force 
$LocalAdmins = Get-LocalGroupMember -Group 'Administrators' | Select-Object -ExpandProperty Name

    Substitua o <UserName> e <GmsaAccount> pelos valores reais.

  9. Para determinar os detalhes do domínio e da unidade organizacional (UO), execute o seguinte comando:

    Get-ADOrganizationalUnit -Filter "DistinguishedName -like '$ouPathDN'" -Properties CanonicalName -Credential $domainUserCredentials

    Substitua o <OuPathDN> pelo caminho real da UO.

  10. Para obter o relatório de GPO (Objeto de Diretiva de Grupo) do domínio e verificar se há políticas de substituição no grupo Administradores local, execute o seguinte comando:

     [xml]$gpoReport = Get-GPOReport -All -ReportType Xml -Domain <domain name>
 foreach ($GPO in $gpoReport.GPOS.GPO) {
     # Check if the GPO links to the entire domain, or the input OU if provided
     if (($GPO.LinksTo.SOMPath -eq $domainName) -or ($GPO.LinksTo.SOMPath -eq $ouPathCN)) {
         # Check if there is a policy overriding the Local Users and Groups
         if ($GPO.Computer.ExtensionData.Extension.LocalUsersAndGroups.Group) {
         $GroupPolicy = $GPO.Computer.ExtensionData.Extension.LocalUsersAndGroups.Group | Select-Object @{Name='RemoveUsers';Expression={$_.Properties.deleteAllUsers}},@{Name='RemoveGroups';Expression={$_.Properties.deleteAllGroups}},@{Name='GroupName';Expression={$_.Properties.groupName}}
         # Check if the policy is acting on the BUILTIN\Administrators group, and whether it is removing other users or groups
         if (($GroupPolicy.groupName -eq "Administrators (built-in)") -and (($GroupPolicy.RemoveUsers -eq 1) -or ($GroupPolicy.RemoveGroups -eq 1))) {
          $overridingPolicyFound = $true
          $overridingPolicyName = $GPO.Name
             }
         }
     }
 }
 if($overridingPolicyFound) {
  Write-Warning "Validation failed. A group policy in your domain (name: $overridingPolicyName) is overriding the local Administrators group on this machine. This will cause SCOM MI installation to fail. Please ensure that the OU for SCOM MI Management Servers is not affected by this policy"
 }
 else {
  Write-Output "Validation suceeded. No group policy found in your domain which overrides local Administrators. "
 }

Se a execução do script fornecer um aviso como Falha na Validação, haverá uma política (nome como na mensagem de aviso) que substitui o grupo de administradores locais. Verifique com o administrador do Ative Directory e exclua o servidor de gerenciamento do System Center Operations Manager da política.