Partilhar via


Criar um grupo de computadores e uma conta de serviço gerenciada por grupo para a Instância Gerenciada SCOM do Azure Monitor

Este artigo descreve como criar uma conta de serviço gerenciada por grupo (gMSA), grupo de computadores e conta de usuário de domínio no Ative Directory local.

Nota

Para saber mais sobre a arquitetura da Instância Gerenciada SCOM do Azure Monitor, consulte Instância Gerenciada SCOM do Azure Monitor.

Pré-requisitos do Ative Directory

Para executar operações do Ative Directory, instale o recurso RSAT: Serviços de Domínio Ative Directory e Ferramentas Lightweight Directory. Em seguida, instale a ferramenta Usuários e Computadores do Ative Directory. Pode instalar esta ferramenta em qualquer computador com conectividade de domínio. Tem de iniciar sessão nesta ferramenta com permissões de administrador para executar todas as operações do Active Directory.

Configurar uma conta de domínio no Ative Directory

Crie uma conta de domínio na instância do Ative Directory. A conta de domínio é uma conta típica do Active Directory. (Pode ser uma conta não administrativa.) Utilize esta conta para adicionar os servidores de gestão do System Center Operations Manager ao domínio existente.

Captura de tela que mostra os usuários do Ative Directory.

Certifique-se de que esta conta tem as permissões para associar outros servidores ao seu domínio. Pode utilizar uma conta de domínio existente se tiver estas permissões.

Use a conta de domínio configurada em etapas posteriores para criar uma instância da Instância Gerenciada SCOM e etapas subsequentes.

Criar e configurar um grupo de computadores

Crie um grupo de computadores na instância do Ative Directory. Para obter mais informações, consulte Criar uma conta de grupo no Ative Directory. Todos os servidores de gestão que criar farão parte deste grupo para que todos os membros possam obter credenciais gMSA. (Cria estas credenciais em passos posteriores.) O nome do grupo não pode conter espaços e deve ter apenas caracteres alfabéticos.

Captura de ecrã que mostra computadores com o Ative Directory.

Para gerir este grupo de computadores, forneça permissões para a conta de domínio que criou.

  1. Selecione as propriedades do grupo e, em seguida, selecione Gerenciado por.

  2. Em Nome, insira o nome da conta de domínio.

  3. Marque a caixa de seleção O gerente pode atualizar a lista de membros.

    Captura de tela que mostra as propriedades do grupo de servidores.

Criar e configurar uma conta gMSA

Crie um gMSA para executar os serviços do servidor de gerenciamento e autenticar os serviços. Utilize o seguinte comando do PowerShell para criar uma conta de serviço gMSA. O nome de host DNS também pode ser usado para configurar o IP estático e associar o mesmo nome DNS ao IP estático como na etapa 8.

New-ADServiceAccount ContosogMSA -DNSHostName "ContosoLB.aquiladom.com" -PrincipalsAllowedToRetrieveManagedPassword "ContosoServerGroup" -KerberosEncryptionType AES128, AES256 -ServicePrincipalNames MSOMHSvc/ContosoLB.aquiladom.com, MSOMHSvc/ContosoLB, MSOMSdkSvc/ContosoLB.aquiladom.com, MSOMSdkSvc/ContosoLB 

Nesse comando:

  • ContosogMSA é o nome gMSA.
  • ContosoLB.aquiladom.com é o nome DNS do balanceador de carga. Use o mesmo nome DNS para criar o IP estático e associe o mesmo nome DNS ao IP estático como na etapa 8.
  • ContosoServerGroup é o grupo de computadores criado no Ative Directory (especificado anteriormente).
  • MSOMHSvc/ContosoLB.aquiladom.com, SMSOMHSvc/ContosoLB, MSOMSdkSvc/ContosoLB.aquiladom.com, e MSOMSdkSvc/ContosoLB são nomes principais de serviço.

Nota

Se o nome gMSA tiver mais de 14 caracteres, certifique-se de definir SamAccountName com menos de 15 caracteres, incluindo o $ sinal.

Se a chave raiz não for eficaz, use o seguinte comando:

Add-KdsRootKey -EffectiveTime ((get-date).addhours(-10)) 

Certifique-se de que a conta gMSA criada é uma conta de administrador local. Se houver alguma política de Objeto de Diretiva de Grupo nos administradores locais no nível do Ative Directory, verifique se eles têm a conta gMSA como administrador local.

Importante

Para minimizar a necessidade de comunicação extensiva com o administrador do Ative Directory e o administrador da rede, consulte Autoverificação. O artigo descreve os procedimentos que o administrador do Ative Directory e o administrador de rede usam para validar suas alterações de configuração e garantir sua implementação bem-sucedida. Esse processo reduz as interações desnecessárias de ida e volta do administrador do Operations Manager para o administrador do Ative Directory e o administrador da rede. Essa configuração economiza tempo para os administradores.

Próximos passos

Armazenar credenciais de domínio no Azure Key Vault