建立 Azure 監視器 SCOM 受控執行個體的電腦群組和 gMSA 帳戶
本文說明如何在 內部部署的 Active Directory 中建立群組管理的服務帳戶 (gMSA) 帳戶、電腦群組和網域使用者帳戶。
注意
若要瞭解 Azure 監視器 SCOM 受控執行個體架構,請參閱Azure 監視器 SCOM 受控執行個體。
Active Directory 必要條件
若要執行 Active Directory 作業,請安裝RSAT:Active Directory 網域服務和輕量型目錄工具功能。 然後安裝Active Directory 消費者和電腦工具。 您可以在任何具有網域連線能力的電腦上安裝此工具。 您必須使用系統管理員許可權登入此工具,才能執行所有 Active Directory 作業。
在 Active Directory 中設定網域帳戶
在您的 Active Directory 實例中建立網域帳戶。 網域帳戶是典型的 Active Directory 帳戶。 (它可以是 nonadmin account.) 您可以使用此帳戶將 System Center Operations Manager 管理伺服器新增至現有的網域。
請確定此帳戶具有將其他伺服器加入網域 的許可權 。 如果有這些許可權,您可以使用現有的網域帳戶。
您可以在後續步驟中使用設定的網域帳戶來建立 SCOM 的實例受控執行個體和後續步驟。
建立及設定電腦群組
在 Active Directory 實例中建立電腦群組。 如需詳細資訊,請參閱 在 Active Directory 中建立群群組帳戶。 您建立的所有管理伺服器都會是此群組的一部分,讓群組的所有成員都可以擷取 gMSA 認證。 (您在稍後的步驟中建立這些認證。) 組名不能包含空格,而且只能有字母字元。
若要管理此電腦群組,請提供您建立之網域帳戶的許可權。
選取群組屬性,然後選取 [ 受管理者]。
針對 [名稱],輸入網域帳戶的名稱。
選取 [ 管理員可以更新成員資格清單 ] 核取方塊。
建立和設定 gMSA 帳戶
建立 gMSA 以執行管理服務,以及驗證服務。 使用下列 PowerShell 命令來建立 gMSA 服務帳戶。 DNS 主機名稱也可以用來設定靜態 IP,並將相同的 DNS 名稱與 步驟 8中的靜態 IP 產生關聯。
New-ADServiceAccount ContosogMSA -DNSHostName "ContosoLB.aquiladom.com" -PrincipalsAllowedToRetrieveManagedPassword "ContosoServerGroup" -KerberosEncryptionType AES128, AES256 -ServicePrincipalNames MSOMHSvc/ContosoLB.aquiladom.com, MSOMHSvc/ContosoLB, MSOMSdkSvc/ContosoLB.aquiladom.com, MSOMSdkSvc/ContosoLB
在該命令中:
ContosogMSA
是 gMSA 名稱。ContosoLB.aquiladom.com
是負載平衡器的 DNS 名稱。 使用相同的 DNS 名稱來建立靜態 IP,並將相同的 DNS 名稱與 步驟 8中的靜態 IP 產生關聯。ContosoServerGroup
是在 Active Directory 中建立的電腦群組, (先前指定) 。MSOMHSvc/ContosoLB.aquiladom.com
、SMSOMHSvc/ContosoLB
、MSOMSdkSvc/ContosoLB.aquiladom.com
和MSOMSdkSvc/ContosoLB
是服務主體名稱。
注意
如果 gMSA 名稱超過 14 個字元,請確定您設定 SamAccountName
的字元少於 15 個字元,包括 $
符號。
如果根金鑰無效,請使用下列命令:
Add-KdsRootKey -EffectiveTime ((get-date).addhours(-10))
確定建立的 gMSA 帳戶是本機系統管理員帳戶。 如果 Active Directory 層級的本機系統管理員上有任何群組原則物件原則,請確定它們具有 gMSA 帳戶作為本機系統管理員。
重要
若要將與 Active Directory 系統管理員和網路系統管理員進行廣泛通訊的需求降到最低,請參閱 自我驗證。 本文概述 Active Directory 系統管理員和網路系統管理員用來驗證其設定變更,並確保其成功實作的程式。 此程式可減少從 Operations Manager 系統管理員到 Active Directory 系統管理員和網路系統管理員的不必要的來回互動。此設定可節省系統管理員的時間。
下一步
意見反應
https://aka.ms/ContentUserFeedback。
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:提交並檢視相關的意見反應