Share via

Tworzenie grupy komputerów i konta GMSA dla wystąpienia zarządzanego SCOM usługi Azure Monitor

  • Artykuł

W tym artykule opisano sposób tworzenia konta usługi zarządzanego przez grupę (gMSA), grupy komputerów i konta użytkownika domeny w lokalna usługa Active Directory.

Uwaga

Aby dowiedzieć się więcej o architekturze wystąpienia zarządzanego SCOM usługi Azure Monitor, zobacz Wystąpienie zarządzane usługi Azure Monitor.

Wymagania wstępne usługi Active Directory

Aby wykonać operacje usługi Active Directory, zainstaluj funkcję RSAT: Active Directory Domain Services i Lightweight Directory Tools. Następnie zainstaluj narzędzie Użytkownicy i komputery usługi Active Directory. To narzędzie można zainstalować na dowolnej maszynie, która ma łączność z domeną. Musisz zalogować się do tego narzędzia z uprawnieniami administratora, aby wykonać wszystkie operacje usługi Active Directory.

Konfigurowanie konta domeny w usłudze Active Directory

Utwórz konto domeny w wystąpieniu usługi Active Directory. Konto domeny jest typowym kontem usługi Active Directory. (Może to być konto inne niż konto administratora). To konto służy do dodawania serwerów zarządzania programu System Center Operations Manager do istniejącej domeny.

Zrzut ekranu przedstawiający użytkowników usługi Active Directory.

Upewnij się, że to konto ma uprawnienia do dołączania innych serwerów do domeny. Możesz użyć istniejącego konta domeny, jeśli ma te uprawnienia.

Skonfigurowane konto domeny jest używane w kolejnych krokach, aby utworzyć wystąpienie wystąpienia wystąpienia zarządzanego programu SCOM i kolejne kroki.

Tworzenie i konfigurowanie grupy komputerów

Utwórz grupę komputerów w wystąpieniu usługi Active Directory. Aby uzyskać więcej informacji, zobacz Tworzenie konta grupy w usłudze Active Directory. Wszystkie utworzone serwery zarządzania będą częścią tej grupy, aby wszyscy członkowie grupy mogli pobrać poświadczenia grupy gMSA. (Te poświadczenia są tworzone w kolejnych krokach). Nazwa grupy nie może zawierać spacji i musi zawierać tylko znaki alfabetu.

Zrzut ekranu przedstawiający komputery usługi Active Directory.

Aby zarządzać tą grupą komputerów, podaj uprawnienia do utworzonego konta domeny.

  1. Wybierz właściwości grupy, a następnie wybierz pozycję Zarządzane według.

  2. W polu Nazwa wprowadź nazwę konta domeny.

  3. Zaznacz pole wyboru Menedżer może zaktualizować listę członkostwa .

    Zrzut ekranu przedstawiający właściwości grupy serwerów.

Tworzenie i konfigurowanie konta usługi gMSA

Utwórz grupę zarządzania, aby uruchomić usługi serwera zarządzania i uwierzytelnić usługi. Użyj następującego polecenia programu PowerShell, aby utworzyć konto usługi gMSA. Nazwę hosta DNS można również użyć do skonfigurowania statycznego adresu IP i skojarzenia tej samej nazwy DNS ze statycznym adresem IP, co w kroku 8.

New-ADServiceAccount ContosogMSA -DNSHostName "ContosoLB.aquiladom.com" -PrincipalsAllowedToRetrieveManagedPassword "ContosoServerGroup" -KerberosEncryptionType AES128, AES256 -ServicePrincipalNames MSOMHSvc/ContosoLB.aquiladom.com, MSOMHSvc/ContosoLB, MSOMSdkSvc/ContosoLB.aquiladom.com, MSOMSdkSvc/ContosoLB

W tym poleceniu:

  • ContosogMSA to nazwa gMSA.
  • ContosoLB.aquiladom.com to nazwa DNS modułu równoważenia obciążenia. Użyj tej samej nazwy DNS, aby utworzyć statyczny adres IP i skojarzyć tę samą nazwę DNS ze statycznym adresem IP, co w kroku 8.
  • ContosoServerGroup to grupa komputerów utworzona w usłudze Active Directory (określona wcześniej).
  • MSOMHSvc/ContosoLB.aquiladom.com, SMSOMHSvc/ContosoLB, MSOMSdkSvc/ContosoLB.aquiladom.comi MSOMSdkSvc/ContosoLB to nazwy główne usługi.

Uwaga

Jeśli nazwa gMSA jest dłuższa niż 14 znaków, upewnij się, że ustawiono SamAccountName mniej niż 15 znaków, w tym $ znak.

Jeśli klucz główny nie jest skuteczny, użyj następującego polecenia:

Add-KdsRootKey -EffectiveTime ((get-date).addhours(-10))

Upewnij się, że utworzone konto gMSA jest kontem administratora lokalnego. Jeśli istnieją jakiekolwiek zasady obiektów zasady grupy na poziomie usługi Active Directory na poziomie usługi Active Directory, upewnij się, że mają konto gMSA jako administrator lokalny.

Ważne

Aby zminimalizować potrzebę szerokiej komunikacji zarówno z administratorem usługi Active Directory, jak i administratorem sieci, zobacz Samodzielna weryfikacja. W tym artykule opisano procedury używane przez administratora usługi Active Directory i administratora sieci w celu zweryfikowania zmian konfiguracji i zapewnienia pomyślnej implementacji. Ten proces zmniejsza niepotrzebne interakcje między administratorem programu Operations Manager a administratorem usługi Active Directory i administratorem sieci. Ta konfiguracja pozwala zaoszczędzić czas dla administratorów.

Następne kroki

Przechowywanie poświadczeń domeny w usłudze Azure Key Vault