Share via

Azure İzleyici SCOM Yönetilen Örneği için bir bilgisayar grubu ve gMSA hesabı oluşturma

  • Makale

Bu makalede, şirket içi Active Directory'de grup tarafından yönetilen hizmet hesabı (gMSA) hesabı, bilgisayar grubu ve etki alanı kullanıcı hesabının nasıl oluşturulacağı açıklanır.

Not

Azure İzleyici SCOM Yönetilen Örneği mimarisi hakkında bilgi edinmek için bkz. Azure İzleyici SCOM Yönetilen Örneği.

Active Directory önkoşulları

Active Directory işlemlerini gerçekleştirmek için RSAT: Active Directory Domain Services ve Basit Dizin Araçları özelliğini yükleyin. Ardından Active Directory Kullanıcıları ve Bilgisayarları aracını yükleyin. Bu aracı etki alanı bağlantısı olan herhangi bir makineye yükleyebilirsiniz. Tüm Active Directory işlemlerini gerçekleştirmek için bu araçta yönetici izinleriyle oturum açmanız gerekir.

Active Directory'de etki alanı hesabı yapılandırma

Active Directory örneğinizde bir etki alanı hesabı oluşturun. Etki alanı hesabı tipik bir Active Directory hesabıdır. (Yönetici olmayan bir hesap olabilir.) System Center Operations Manager yönetim sunucularını mevcut etki alanınıza eklemek için bu hesabı kullanırsınız.

Active Directory kullanıcılarını gösteren ekran görüntüsü.

Bu hesabın diğer sunucuları etki alanınıza ekleme izinlerine sahip olduğundan emin olun. Bu izinlere sahipse mevcut bir etki alanı hesabını kullanabilirsiniz.

Yapılandırılmış etki alanı hesabını sonraki adımlarda kullanarak SCOM Yönetilen Örneği'nin ve sonraki adımların bir örneğini oluşturursunuz.

Bilgisayar grubu oluşturma ve yapılandırma

Active Directory örneğinizde bir bilgisayar grubu oluşturun. Daha fazla bilgi için bkz. Active Directory'de grup hesabı oluşturma. Oluşturduğunuz tüm yönetim sunucuları, grubun tüm üyelerinin gMSA kimlik bilgilerini alabilmesi için bu grubun bir parçası olacaktır. (Bu kimlik bilgilerini sonraki adımlarda oluşturacaksınız.) Grup adı boşluk içeremez ve yalnızca alfabe karakterleri içermelidir.

Active Directory bilgisayarlarını gösteren ekran görüntüsü.

Bu bilgisayar grubunu yönetmek için, oluşturduğunuz etki alanı hesabına izinler sağlayın.

  1. Grup özelliklerini ve ardından Yönetilen'i seçin.

  2. Ad alanına etki alanı hesabının adını girin.

  3. Yönetici üyelik listesini güncelleştirebilir onay kutusunu seçin.

    Sunucu grubu özelliklerini gösteren ekran görüntüsü.

gMSA hesabı oluşturma ve yapılandırma

Yönetim sunucusu hizmetlerini çalıştırmak ve hizmetlerin kimliğini doğrulamak için bir gMSA oluşturun. Bir gMSA hizmet hesabı oluşturmak için aşağıdaki PowerShell komutunu kullanın. DNS ana bilgisayar adı, statik IP'yi yapılandırmak ve 8. adımda olduğu gibi aynı DNS adını statik IP ile ilişkilendirmek için de kullanılabilir.

New-ADServiceAccount ContosogMSA -DNSHostName "ContosoLB.aquiladom.com" -PrincipalsAllowedToRetrieveManagedPassword "ContosoServerGroup" -KerberosEncryptionType AES128, AES256 -ServicePrincipalNames MSOMHSvc/ContosoLB.aquiladom.com, MSOMHSvc/ContosoLB, MSOMSdkSvc/ContosoLB.aquiladom.com, MSOMSdkSvc/ContosoLB

Bu komutta:

  • ContosogMSA gMSA adıdır.
  • ContosoLB.aquiladom.com , yük dengeleyicinin DNS adıdır. Statik IP'yi oluşturmak ve aynı DNS adını 8. adımda olduğu gibi statik IP ile ilişkilendirmek için aynı DNS adını kullanın.
  • ContosoServerGroup , Active Directory'de oluşturulan bilgisayar grubudur (daha önce belirtilmiştir).
  • MSOMHSvc/ContosoLB.aquiladom.com, SMSOMHSvc/ContosoLB, MSOMSdkSvc/ContosoLB.aquiladom.comve MSOMSdkSvc/ContosoLB hizmet asıl adlarıdır.

Not

gMSA adı 14 karakterden uzunsa, işareti de dahil olmak üzere 15 karakterden kısa bir değer ayarladığınızdan SamAccountName$ emin olun.

Kök anahtar etkili değilse aşağıdaki komutu kullanın:

Add-KdsRootKey -EffectiveTime ((get-date).addhours(-10))

Oluşturulan gMSA hesabının yerel bir yönetici hesabı olduğundan emin olun. Yerel yöneticilerde Active Directory düzeyinde grup ilkesi Nesne ilkeleri varsa, yerel yönetici olarak gMSA hesabına sahip olduklarından emin olun.

Önemli

Hem Active Directory yöneticinizle hem de ağ yöneticinizle kapsamlı iletişim gereksinimini en aza indirmek için bkz. Kendi kendine doğrulama. Makalede, Active Directory yöneticisinin ve ağ yöneticisinin yapılandırma değişikliklerini doğrulamak ve başarılı bir şekilde uygulanmasını sağlamak için kullandığı yordamlar özetlenmiştir. Bu işlem, Operations Manager yöneticisinden Active Directory yöneticisine ve ağ yöneticisine gereksiz ileri geri etkileşimleri azaltır. Bu yapılandırma yöneticiler için zaman kazandırır.

Sonraki adımlar

Azure Key Vault'de etki alanı kimlik bilgilerini depolama