Share via

建立 Azure 監視器 SCOM 受控執行個體的電腦群組和 gMSA 帳戶

  • 發行項

本文說明如何在 內部部署的 Active Directory 中建立群組管理的服務帳戶 (gMSA) 帳戶、電腦群組和網域使用者帳戶。

注意

若要瞭解 Azure 監視器 SCOM 受控執行個體架構,請參閱Azure 監視器 SCOM 受控執行個體

Active Directory 必要條件

若要執行 Active Directory 作業,請安裝RSAT:Active Directory 網域服務和輕量型目錄工具功能。 然後安裝Active Directory 消費者和電腦工具。 您可以在任何具有網域連線能力的電腦上安裝此工具。 您必須使用系統管理員許可權登入此工具,才能執行所有 Active Directory 作業。

在 Active Directory 中設定網域帳戶

在您的 Active Directory 實例中建立網域帳戶。 網域帳戶是典型的 Active Directory 帳戶。 (它可以是 nonadmin account.) 您可以使用此帳戶將 System Center Operations Manager 管理伺服器新增至現有的網域。

顯示 Active Directory 使用者的螢幕擷取畫面。

請確定此帳戶具有將其他伺服器加入網域 的許可權 。 如果有這些許可權,您可以使用現有的網域帳戶。

您可以在後續步驟中使用設定的網域帳戶來建立 SCOM 的實例受控執行個體和後續步驟。

建立及設定電腦群組

在 Active Directory 實例中建立電腦群組。 如需詳細資訊,請參閱 在 Active Directory 中建立群群組帳戶。 您建立的所有管理伺服器都會是此群組的一部分,讓群組的所有成員都可以擷取 gMSA 認證。 (您在稍後的步驟中建立這些認證。) 組名不能包含空格,而且只能有字母字元。

顯示 Active Directory 電腦的螢幕擷取畫面。

若要管理此電腦群組,請提供您建立之網域帳戶的許可權。

  1. 選取群組屬性,然後選取 [ 受管理者]。

  2. 針對 [名稱],輸入網域帳戶的名稱。

  3. 選取 [ 管理員可以更新成員資格清單 ] 核取方塊。

    顯示伺服器群組屬性的螢幕擷取畫面。

建立和設定 gMSA 帳戶

建立 gMSA 以執行管理服務,以及驗證服務。 使用下列 PowerShell 命令來建立 gMSA 服務帳戶。 DNS 主機名稱也可以用來設定靜態 IP,並將相同的 DNS 名稱與 步驟 8中的靜態 IP 產生關聯。

New-ADServiceAccount ContosogMSA -DNSHostName "ContosoLB.aquiladom.com" -PrincipalsAllowedToRetrieveManagedPassword "ContosoServerGroup" -KerberosEncryptionType AES128, AES256 -ServicePrincipalNames MSOMHSvc/ContosoLB.aquiladom.com, MSOMHSvc/ContosoLB, MSOMSdkSvc/ContosoLB.aquiladom.com, MSOMSdkSvc/ContosoLB

在該命令中:

  • ContosogMSA 是 gMSA 名稱。
  • ContosoLB.aquiladom.com 是負載平衡器的 DNS 名稱。 使用相同的 DNS 名稱來建立靜態 IP,並將相同的 DNS 名稱與 步驟 8中的靜態 IP 產生關聯。
  • ContosoServerGroup 是在 Active Directory 中建立的電腦群組, (先前指定) 。
  • MSOMHSvc/ContosoLB.aquiladom.comSMSOMHSvc/ContosoLBMSOMSdkSvc/ContosoLB.aquiladom.comMSOMSdkSvc/ContosoLB 是服務主體名稱。

注意

如果 gMSA 名稱超過 14 個字元,請確定您設定 SamAccountName 的字元少於 15 個字元,包括 $ 符號。

如果根金鑰無效,請使用下列命令:

Add-KdsRootKey -EffectiveTime ((get-date).addhours(-10))

確定建立的 gMSA 帳戶是本機系統管理員帳戶。 如果 Active Directory 層級的本機系統管理員上有任何群組原則物件原則,請確定它們具有 gMSA 帳戶作為本機系統管理員。

重要

若要將與 Active Directory 系統管理員和網路系統管理員進行廣泛通訊的需求降到最低,請參閱 自我驗證。 本文概述 Active Directory 系統管理員和網路系統管理員用來驗證其設定變更,並確保其成功實作的程式。 此程式可減少從 Operations Manager 系統管理員到 Active Directory 系統管理員和網路系統管理員的不必要的來回互動。此設定可節省系統管理員的時間。

下一步

將網域認證儲存在 Azure 金鑰保存庫