Vytvoření skupiny počítačů a účtu gMSA pro spravovanou instanci SCOM služby Azure Monitor

  • Článek

Tento článek popisuje, jak vytvořit účet spravované služby skupiny (gMSA), skupinu počítačů a účet uživatele domény v místní Active Directory.

Poznámka

Další informace o architektuře spravované instance SCOM služby Azure Monitor najdete v tématu Spravovaná instance SCOM služby Azure Monitor.

Požadavky služby Active Directory

Pokud chcete provádět operace služby Active Directory, nainstalujte funkci Nástroje pro vzdálenou správu serveru: Active Directory Domain Services a Lightweight Directory Tools. Pak nainstalujte nástroj Uživatelé a počítače služby Active Directory. Tento nástroj můžete nainstalovat na jakýkoli počítač, který má připojení k doméně. Abyste mohli provádět všechny operace služby Active Directory, musíte se přihlásit k tomuto nástroji s oprávněními správce.

Konfigurace účtu domény ve službě Active Directory

Vytvořte účet domény v instanci služby Active Directory. Doménový účet je typický účet služby Active Directory. (Může se jednat o účet bez oprávnění správce.) Tento účet použijete k přidání serverů pro správu Nástroje System Center Operations Manager do vaší stávající domény.

Snímek obrazovky znázorňující uživatele služby Active Directory

Ujistěte se, že tento účet má oprávnění k připojení dalších serverů k vaší doméně. Pokud má tato oprávnění, můžete použít existující účet domény.

Nakonfigurovaný účet domény použijete v pozdějších krocích k vytvoření instance spravované instance SCOM a následným krokům.

Vytvoření a konfigurace skupiny počítačů

Vytvořte skupinu počítačů v instanci služby Active Directory. Další informace najdete v tématu Vytvoření skupinového účtu ve službě Active Directory. Všechny servery pro správu, které vytvoříte, budou součástí této skupiny, aby všichni členové skupiny mohli načíst přihlašovací údaje gMSA. (Tyto přihlašovací údaje vytvoříte v pozdějších krocích.) Název skupiny nesmí obsahovat mezery a musí obsahovat pouze znaky abecedy.

Snímek obrazovky znázorňující počítače se službou Active Directory

Chcete-li spravovat tuto skupinu počítačů, zadejte oprávnění k účtu domény, který jste vytvořili.

  1. Vyberte vlastnosti skupiny a pak vyberte Spravováno.

  2. Do pole Název zadejte název účtu domény.

  3. Zaškrtněte políčko Správce může aktualizovat seznam členství .

    Snímek obrazovky zobrazící vlastnosti skupiny serverů

Vytvoření a konfigurace účtu gMSA

Vytvořte gMSA pro spouštění služeb serveru pro správu a ověřování služeb. K vytvoření účtu služby gMSA použijte následující příkaz PowerShellu. Název hostitele DNS se dá použít také ke konfiguraci statické IP adresy a přidružení stejného názvu DNS ke statické IP adrese jako v kroku 8.

New-ADServiceAccount ContosogMSA -DNSHostName "ContosoLB.aquiladom.com" -PrincipalsAllowedToRetrieveManagedPassword "ContosoServerGroup" -KerberosEncryptionType AES128, AES256 -ServicePrincipalNames MSOMHSvc/ContosoLB.aquiladom.com, MSOMHSvc/ContosoLB, MSOMSdkSvc/ContosoLB.aquiladom.com, MSOMSdkSvc/ContosoLB

V daném příkazu:

  • ContosogMSA je název gMSA.
  • ContosoLB.aquiladom.com je název DNS pro nástroj pro vyrovnávání zatížení. K vytvoření statické IP adresy použijte stejný název DNS a přidružte ke statické IP adrese stejný název DNS jako v kroku 8.
  • ContosoServerGroup je skupina počítačů vytvořená ve službě Active Directory (zadaná dříve).
  • MSOMHSvc/ContosoLB.aquiladom.com, , SMSOMHSvc/ContosoLBMSOMSdkSvc/ContosoLB.aquiladom.coma MSOMSdkSvc/ContosoLB jsou hlavní názvy služeb.

Poznámka

Pokud je název gMSA delší než 14 znaků, ujistěte se, že jste nastavili SamAccountName méně než 15 znaků včetně znaménka $ .

Pokud kořenový klíč není efektivní, použijte následující příkaz:

Add-KdsRootKey -EffectiveTime ((get-date).addhours(-10))

Ujistěte se, že vytvořený účet gMSA je místní účet správce. Pokud místní správci na úrovni služby Active Directory používají zásady Zásady skupiny Object, ujistěte se, že jako místní správce mají účet gMSA.

Důležité

Pokud chcete minimalizovat potřebu rozsáhlé komunikace se správcem služby Active Directory i se správcem sítě, přečtěte si téma Samoobslužné ověření. Tento článek popisuje postupy, které správce služby Active Directory a správce sítě používají k ověření změn konfigurace a zajištění jejich úspěšné implementace. Tento proces omezuje zbytečné interakce mezi správcem Operations Manageru a správcem služby Active Directory a správcem sítě. Tato konfigurace šetří čas správcům.

Další kroky

Uložení přihlašovacích údajů k doméně v Azure Key Vault