Vytvoření skupiny počítačů a účtu služby spravované skupinou pro spravovanou instanci Azure Monitor SCOM
Tento článek popisuje, jak vytvořit účet služby spravované skupiny (gMSA), skupinu počítačů a uživatelský účet domény v místní Active Directory.
Poznámka:
Další informace o architektuře spravované instance SCOM služby Azure Monitor najdete v tématu Spravovaná instance SCOM služby Azure Monitor.
Požadavky služby Active Directory
Pokud chcete provádět operace služby Active Directory, nainstalujte nástroj RSAT: Doména služby Active Directory Services a Lightweight Directory Tools. Potom nainstalujte nástroj Uživatelé a počítače služby Active Directory. Tento nástroj můžete nainstalovat na jakýkoli počítač s připojením k doméně. Abyste mohli provádět všechny operace služby Active Directory, musíte se k tomuto nástroji přihlásit s oprávněním správce.
Konfigurace účtu domény ve službě Active Directory
Vytvořte v instanci služby Active Directory účet domény. Účet domény je typickým účtem služby Active Directory. (Může se jednat o účet bez oprávnění správce.) Tento účet použijete k přidání serverů pro správu nástroje System Center Operations Manager do existující domény.
Ujistěte se, že tento účet má oprávnění k připojení jiných serverů k vaší doméně. Pokud má tato oprávnění, můžete použít existující účet domény.
Nakonfigurovaný účet domény použijete v pozdějších krocích k vytvoření instance spravované instance SCOM a následných kroků.
Vytvoření a konfigurace skupiny počítačů
Vytvořte skupinu počítačů v instanci služby Active Directory. Další informace najdete v tématu Vytvoření skupinového účtu ve službě Active Directory. Všechny servery pro správu, které vytvoříte, budou součástí této skupiny, aby všichni členové skupiny mohli načíst přihlašovací údaje gMSA. (Tyto přihlašovací údaje vytvoříte v pozdějších krocích.) Název skupiny nesmí obsahovat mezery a musí obsahovat jenom znaky abecedy.
Chcete-li spravovat tuto skupinu počítačů, zadejte oprávnění k účtu domény, který jste vytvořili.
Vyberte vlastnosti skupiny a pak vyberte Spravovat podle.
Jako název zadejte název účtu domény.
Zaškrtněte políčko Správce může aktualizovat seznam členství.
Vytvoření a konfigurace účtu gMSA
Vytvořte gMSA pro spuštění služeb serveru pro správu a ověření služeb. Pomocí následujícího příkazu PowerShellu vytvořte účet služby gMSA. Název hostitele DNS lze také použít ke konfiguraci statické IP adresy a přidružení stejného názvu DNS ke statické IP adrese jako v kroku 8.
New-ADServiceAccount ContosogMSA -DNSHostName "ContosoLB.aquiladom.com" -PrincipalsAllowedToRetrieveManagedPassword "ContosoServerGroup" -KerberosEncryptionType AES128, AES256 -ServicePrincipalNames MSOMHSvc/ContosoLB.aquiladom.com, MSOMHSvc/ContosoLB, MSOMSdkSvc/ContosoLB.aquiladom.com, MSOMSdkSvc/ContosoLB
V tomhle příkazu:
ContosogMSAje název gMSA.ContosoLB.aquiladom.comje název DNS nástroje pro vyrovnávání zatížení. Pomocí stejného názvu DNS vytvořte statickou IP adresu a přidružte stejný název DNS ke statické IP adrese jako v kroku 8.ContosoServerGroupje skupina počítačů vytvořená ve službě Active Directory (zadaná dříve).MSOMHSvc/ContosoLB.aquiladom.com,SMSOMHSvc/ContosoLB,MSOMSdkSvc/ContosoLB.aquiladom.comaMSOMSdkSvc/ContosoLBjsou hlavní názvy služeb.
Poznámka:
Pokud je název gMSA delší než 14 znaků, ujistěte se, že jste nastavili SamAccountName méně než 15 znaků včetně znaménka $ .
Pokud kořenový klíč není efektivní, použijte následující příkaz:
Add-KdsRootKey -EffectiveTime ((get-date).addhours(-10))
Ujistěte se, že vytvořený účet gMSA je místní účet správce. Pokud jsou místní správci na úrovni služby Active Directory nějaké zásady zásad skupiny, ujistěte se, že mají účet gMSA jako místní správce.
Důležité
Pokud chcete minimalizovat potřebu rozsáhlé komunikace se správcem Active Directory i správcem sítě, přečtěte si téma Samoobslužné ověření. Tento článek popisuje postupy, které správce služby Active Directory a správce sítě používají k ověření změn konfigurace a zajištění úspěšné implementace. Tento proces snižuje nepotřebné interakce mezi správcem Operations Manageru a správcem sítě Active Directory. Tato konfigurace šetří čas správcům.
Další kroky
Ukládání přihlašovacích údajů k doméně ve službě Azure Key Vault