通过

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

为 Azure Monitor SCOM 托管实例创建计算机组和组托管服务帐户

  • 项目

本文介绍如何在本地 Active Directory 中创建组托管服务帐户 (gMSA)、计算机组和域用户帐户。

注意

若要了解 Azure Monitor SCOM 托管实例体系结构,请参阅 Azure Monitor SCOM 托管实例

Active Directory 先决条件

若要执行 Active Directory 操作,请安装“RSAT: Active Directory 域服务和轻型目录工具”功能。 然后安装“Active Directory 用户和计算机”工具。 可以在具有域连接的任何计算机上安装此工具。 必须使用管理员权限登录到此工具才能执行所有 Active Directory 操作。

在 Active Directory 中配置域帐户

在 Active Directory 实例中创建域帐户。 域帐户是典型的 Active Directory 帐户。 (可以是非管理员帐户。)使用此帐户将 System Center Operations Manager 管理服务器添加到现有域。

显示 Active Directory 用户的屏幕截图。

确保此帐户有将其他服务器加入你的域。 如果现有域帐户具有这些权限,则可以使用该帐户。

在稍后的步骤中需使用配置的域帐户创建 SCOM 托管实例,并且在后续步骤中也需使用该帐户。

创建并配置计算机组

在 Active Directory 实例中创建计算机组。 有关详细信息,请参阅在 Active Directory 中创建组帐户。 创建的所有管理服务器都将是此组的一部分,这样该组的所有成员都可以检索 gMSA 凭证。 (在后续步骤中创建这些凭证。)组名称不能包含空格,并且必须只包含字母字符。

显示 Active Directory 计算机的屏幕截图。

若要管理此计算机组,请向你创建的域帐户提供权限。

  1. 选择组属性,然后选择“托管者”

  2. 对于“名称”,请输入域帐户的名称

  3. 选中“管理者可以更新成员身份列表”复选框。

    显示服务器组属性的屏幕截图。

创建并配置 gMSA 帐户

创建用于运行管理服务器服务并对这些服务进行身份验证的 gMSA。 要创建 gMSA 服务帐户,请使用以下 PowerShell 命令: DNS 主机名还可用于配置静态 IP 并将同一 DNS 名称与该静态 IP 相关联,如步骤 8 中所示。

New-ADServiceAccount ContosogMSA -DNSHostName "ContosoLB.aquiladom.com" -PrincipalsAllowedToRetrieveManagedPassword "ContosoServerGroup" -KerberosEncryptionType AES128, AES256 -ServicePrincipalNames MSOMHSvc/ContosoLB.aquiladom.com, MSOMHSvc/ContosoLB, MSOMSdkSvc/ContosoLB.aquiladom.com, MSOMSdkSvc/ContosoLB

在该命令中:

  • ContosogMSA 是 gMSA 名称。
  • ContosoLB.aquiladom.com 是负载均衡器的 DNS 名称。 使用同一 DNS 名称创建静态 IP 并将同一 DNS 名称与该静态 IP 相关联,如步骤 8 中所示。
  • ContosoServerGroup 是在 Active Directory 中创建的计算机组(前面已指定)。
  • MSOMHSvc/ContosoLB.aquiladom.comSMSOMHSvc/ContosoLBMSOMSdkSvc/ContosoLB.aquiladom.comMSOMSdkSvc/ContosoLB 是服务主体名称。

注意

如果 gMSA 名称长度超过 14 个字符,请确保将 SamAccountName 设置为小于 15 个字符(包括 $ 符号)。

如果根密钥无效,请使用以下命令:

Add-KdsRootKey -EffectiveTime ((get-date).addhours(-10))

请确保创建的 gMSA 帐户是本地管理员帐户。 如果在 Active Directory 级别存在有关本地管理员的任何组策略对象策略,请确保其将 gMSA 帐户作为本地管理员。

重要

若要最大程度地减少与 Active Directory 管理员和网络管理员进行广泛通信的需求,请参阅自我验证。 该文章概述了 Active Directory 管理员和网络管理员用来验证其配置更改并确保其成功实现的过程。 此过程可减少 Operations Manager 管理员与 Active Directory 管理员和网络管理员之间不必要的来回交互。此配置为管理员节省了时间。

后续步骤

将域凭据存储在 Azure Key Vault 中