Tworzenie grupy komputerów i konta usługi zarządzanego przez grupę dla wystąpienia zarządzanego usługi Azure Monitor SCOM
W tym artykule opisano sposób tworzenia konta usługi zarządzanego przez grupę (gMSA), grupy komputerów i konta użytkownika domeny w lokalna usługa Active Directory.
Uwaga
Aby dowiedzieć się więcej o architekturze wystąpienia zarządzanego SCOM usługi Azure Monitor, zobacz Wystąpienie zarządzane usługi Azure Monitor SCOM.
Wymagania wstępne usługi Active Directory
Aby wykonać operacje usługi Active Directory, zainstaluj funkcję RSAT: domena usługi Active Directory Services i Lightweight Directory Tools. Następnie zainstaluj narzędzie Użytkownicy i komputery usługi Active Directory. To narzędzie można zainstalować na dowolnym komputerze, który ma łączność z domeną. Aby wykonywać wszystkie operacje usługi Active Directory, musisz zalogować się do tego narzędzia z uprawnieniami administratora.
Konfigurowanie konta domeny w usłudze Active Directory
Utwórz konto domeny w wystąpieniu usługi Active Directory. Konto domeny jest typowym kontem usługi Active Directory. (Może to być konto inne niż konto administratora). To konto służy do dodawania serwerów zarządzania programu System Center Operations Manager do istniejącej domeny.
Upewnij się, że to konto ma uprawnienia do dołączania innych serwerów do domeny. Jeśli są te uprawnienia, możesz użyć istniejącego konta domeny.
Skonfigurowane konto domeny jest używane w kolejnych krokach, aby utworzyć wystąpienie wystąpienia wystąpienia zarządzanego programu SCOM i kolejne kroki.
Tworzenie i konfigurowanie grupy komputerów
Utwórz grupę komputerów w wystąpieniu usługi Active Directory. Aby uzyskać więcej informacji, zobacz Tworzenie konta grupy w usłudze Active Directory. Wszystkie utworzone serwery zarządzania będą częścią tej grupy, aby wszyscy członkowie grupy mogli podjąć poświadczenia grupy gMSA. (Te poświadczenia są tworzone w kolejnych krokach). Nazwa grupy nie może zawierać spacji i może zawierać tylko litery.
Aby zarządzać tą grupą komputerów, podaj uprawnienia do utworzonego konta domeny.
Wybierz właściwości grupy, a następnie wybierz pozycję Zarządzane przez.
W polu Nazwa wprowadź nazwę konta domeny.
Zaznacz pole wyboru Menedżer może zaktualizować listę członkostwa.
Tworzenie i konfigurowanie konta usługi gMSA
Utwórz konto zarządzane przez grupę, aby uruchomić usługi serwera zarządzania i uwierzytelnić usługi. Użyj następującego polecenia programu PowerShell, aby utworzyć konto usługi gMSA. Nazwę hosta DNS można również użyć do skonfigurowania statycznego adresu IP i skojarzenia tej samej nazwy DNS ze statycznym adresem IP, co w kroku 8.
New-ADServiceAccount ContosogMSA -DNSHostName "ContosoLB.aquiladom.com" -PrincipalsAllowedToRetrieveManagedPassword "ContosoServerGroup" -KerberosEncryptionType AES128, AES256 -ServicePrincipalNames MSOMHSvc/ContosoLB.aquiladom.com, MSOMHSvc/ContosoLB, MSOMSdkSvc/ContosoLB.aquiladom.com, MSOMSdkSvc/ContosoLB
W tym poleceniu:
ContosogMSAto nazwa gMSA.ContosoLB.aquiladom.comto nazwa DNS modułu równoważenia obciążenia. Użyj tej samej nazwy DNS, aby utworzyć statyczny adres IP i skojarzyć tę samą nazwę DNS ze statycznym adresem IP co w kroku 8.ContosoServerGroupto grupa komputerów utworzona w usłudze Active Directory (określona wcześniej).MSOMHSvc/ContosoLB.aquiladom.com,SMSOMHSvc/ContosoLB,MSOMSdkSvc/ContosoLB.aquiladom.comiMSOMSdkSvc/ContosoLBto nazwy główne usługi.
Uwaga
Jeśli nazwa gMSA jest dłuższa niż 14 znaków, upewnij się, że ustawiono SamAccountName mniej niż 15 znaków, w tym $ znak.
Jeśli klucz główny nie jest skuteczny, użyj następującego polecenia:
Add-KdsRootKey -EffectiveTime ((get-date).addhours(-10))
Upewnij się, że utworzone konto gMSA jest kontem administratora lokalnego. Jeśli istnieją jakiekolwiek zasady obiektu zasad grupy dla administratorów lokalnych na poziomie usługi Active Directory, upewnij się, że mają konto gMSA jako administrator lokalny.
Ważne
Aby zminimalizować potrzebę rozległej komunikacji zarówno z administratorem usługi Active Directory, jak i administratorem sieci, zobacz Samodzielna weryfikacja. W tym artykule opisano procedury używane przez administratora usługi Active Directory i administratora sieci w celu zweryfikowania zmian konfiguracji i zapewnienia pomyślnej implementacji. Ten proces zmniejsza niepotrzebne interakcje między administratorem programu Operations Manager a administratorem usługi Active Directory i administratorem sieci. Ta konfiguracja pozwala zaoszczędzić czas dla administratorów.