Condividi tramite

Creare un gruppo di computer e un account del servizio gestito dal gruppo per istanza gestita SCOM di Monitoraggio di Azure

  • Articolo

Questo articolo descrive come creare un account del servizio gestito del gruppo, un gruppo di computer e un account utente di dominio in Active Directory locale.

Nota

Per informazioni sull'architettura di istanza gestita SCOM di Monitoraggio di Azure, vedere istanza gestita SCOM di Monitoraggio di Azure.

Prerequisiti di Active Directory

Per eseguire operazioni di Active Directory, installare la funzionalità RSAT: Active Directory Domain Services e Lightweight Directory Tools. Installare quindi lo strumento Utenti e computer di Active Directory. È possibile installare questo strumento in qualsiasi computer con connettività di dominio. Per eseguire tutte le operazioni di Active Directory, è necessario accedere a questo strumento con autorizzazioni di amministratore.

Configurare un account di dominio in Active Directory

Creare un account di dominio nell'istanza di Active Directory. L'account di dominio è un account Active Directory tipico. Può essere un account non amministratore. Usare questo account per aggiungere i server Management di System Center Operations Manager al dominio esistente.

Screenshot che mostra gli utenti di Active Directory.

Assicurarsi che questo account disponga delle autorizzazioni per aggiungere altri server al dominio. Se dispone di queste autorizzazioni, è possibile usare un account di dominio esistente.

L'account di dominio configurato viene usato nei passaggi successivi per creare un'istanza di istanza gestita SCOM e i passaggi successivi.

Creare e configurare un gruppo di computer

Creare un gruppo di computer nell'istanza di Active Directory. Per altre informazioni, vedere l'articolo Creare un gruppo in Active Directory. Tutti i server Management creati faranno parte di questo gruppo in modo che tutti i membri del gruppo possano recuperare le credenziali dell'account del servizio gestito di gruppo. Queste credenziali vengono create nei passaggi successivi. Il nome del gruppo non può contenere spazi e deve contenere solo caratteri alfabetici.

Screenshot che mostra i computer di Active Directory.

Per gestire questo gruppo di computer, fornire le autorizzazioni per l'account di dominio creato.

  1. Selezionare le proprietà del gruppo e quindi selezionare Gestito da.

  2. In Nome immettere il nome dell'account di dominio.

  3. Selezionare la casella di controllo Il manager può aggiornare l'elenco di appartenenze.

    Screenshot che mostra le proprietà del gruppo di server.

Creare e configurare un account del servizio gestito del gruppo

Creare un account del servizio gestito del gruppo per eseguire i servizi del server di gestione e per autenticare i servizi. Per creare un account del servizio gestito di gruppo, usare il comando PowerShell seguente. Il nome host DNS può essere usato anche per configurare l'IP statico e associare lo stesso nome DNS all'IP statico del passaggio 8.

New-ADServiceAccount ContosogMSA -DNSHostName "ContosoLB.aquiladom.com" -PrincipalsAllowedToRetrieveManagedPassword "ContosoServerGroup" -KerberosEncryptionType AES128, AES256 -ServicePrincipalNames MSOMHSvc/ContosoLB.aquiladom.com, MSOMHSvc/ContosoLB, MSOMSdkSvc/ContosoLB.aquiladom.com, MSOMSdkSvc/ContosoLB

In tale comando:

  • ContosogMSA è il nome dell'account del servizio gestito del gruppo.
  • ContosoLB.aquiladom.com è il nome DNS per il servizio di bilanciamento del carico. Usare lo stesso nome DNS per creare l'IP statico e associare lo stesso nome DNS all'IP statico del passaggio 8.
  • ContosoServerGroup è il gruppo di computer creato in Active Directory (specificato in precedenza).
  • MSOMHSvc/ContosoLB.aquiladom.com, SMSOMHSvc/ContosoLB, MSOMSdkSvc/ContosoLB.aquiladom.com e MSOMSdkSvc/ContosoLB sono nomi di entità servizio.

Nota

Se il nome dell'account del servizio gestito del gruppo è più lungo di 14 caratteri, assicurarsi di impostare SamAccountName con meno di 15 caratteri, incluso il segno $.

Se la chiave radice non è efficace, usare il comando seguente:

Add-KdsRootKey -EffectiveTime ((get-date).addhours(-10))

Assicurarsi che l'account del servizio gestito del gruppo creato sia un account amministratore locale. Se sono presenti criteri di oggetto Criteri di gruppo per gli amministratori locali a livello di Active Directory, assicurarsi di avere l'account del servizio gestito del gruppo come amministratore locale.

Importante

Per ridurre al minimo la necessità di una comunicazione estesa sia con l'amministratore di Active Directory che con l'amministratore di rete, vedere Verifica automatica. L'articolo descrive le procedure usate dall'amministratore di Active Directory e dall'amministratore di rete per convalidare le modifiche alla configurazione e garantire la corretta implementazione. Questo processo riduce le interazioni non necessarie dall'amministratore di Operations Manager all'amministratore di Active Directory e all'amministratore di rete. Questa configurazione consente agli amministratori di risparmiare tempo.

Passaggi successivi

Archiviare le credenziali del dominio in Azure Key Vault