Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
Ez a cikk azt ismerteti, hogyan hozhat létre csoport által felügyelt szolgáltatásfiókot (gMSA-fiókot), számítógépcsoportot és tartományi felhasználói fiókot helyi Active Directory.
Feljegyzés
A felügyelt Azure Monitor SCOM-példány architektúrájáról az Azure Monitor SCOM Felügyelt példány című témakörben olvashat.
Az Active Directory előfeltételei
Az Active Directory-műveletek végrehajtásához telepítse az RSAT: Active Directory tartományi szolgáltatások és az Egyszerűsített címtáreszközök funkciót. Ezután telepítse a Active Directory - felhasználók és számítógépek eszközt. Ezt az eszközt bármely olyan gépre telepítheti, amely rendelkezik tartománykapcsolattal. Erre az eszközre rendszergazdai engedélyekkel kell bejelentkeznie, hogy az összes Active Directory-műveletet végrehajthassa.
Tartományfiók konfigurálása az Active Directoryban
Hozzon létre egy tartományi fiókot az Active Directory-példányban. A tartományfiók egy tipikus Active Directory-fiók. (Ez lehet nem admin fiók.) Ezzel a fiókkal adhatja hozzá a System Center Operations Manager felügyeleti kiszolgálóit a meglévő tartományához.
Győződjön meg arról, hogy ez a fiók rendelkezik a tartományhoz más kiszolgálókhoz való csatlakozáshoz szükséges engedélyekkel . Meglévő tartományfiókot is használhat, ha az rendelkezik ezekkel az engedélyekkel.
A konfigurált tartományfiókot a későbbi lépésekben a felügyelt SCOM-példányok példányának létrehozásához és az azt követő lépésekhez használhatja.
Számítógépcsoport létrehozása és konfigurálása
Hozzon létre egy számítógépcsoportot az Active Directory-példányban. További információ: Csoportfiók létrehozása az Active Directoryban. Az összes Ön által létrehozott felügyeleti kiszolgáló ennek a csoportnak a része lesz, hogy a csoport összes tagja le tudja kérni a gMSA hitelesítő adatokat. (Ezeket a hitelesítő adatokat a későbbi lépésekben hozza majd létre.) A csoportnév nem tartalmazhat szóközöket, és csak alfabetikus karakterek lehetnek benne.
A számítógépcsoport kezeléséhez adjon meg engedélyeket a létrehozott tartományi fiókhoz.
Válassza ki a csoporttulajdonságokat, majd válassza a Managed By (Felügyelt) lehetőséget.
A Név mezőbe írja be a tartományfiók nevét.
Jelölje be a Manager frissítheti a tagsági lista jelölőnégyzetét .
GMSA-fiók létrehozása és konfigurálása
Hozzon létre egy gMSA-t a felügyeleti kiszolgáló szolgáltatásainak futtatásához és a szolgáltatások hitelesítéséhez. gMSA-szolgáltatásfiók létrehozásához használja a következő PowerShell-parancsot. A DNS-állomásnév a statikus IP konfigurálására is használható, és ugyanazt a DNS-nevet társítja a statikus IP-címhez, mint a 8. lépésben.
New-ADServiceAccount ContosogMSA -DNSHostName "ContosoLB.aquiladom.com" -PrincipalsAllowedToRetrieveManagedPassword "ContosoServerGroup" -KerberosEncryptionType AES128, AES256 -ServicePrincipalNames MSOMHSvc/ContosoLB.aquiladom.com, MSOMHSvc/ContosoLB, MSOMSdkSvc/ContosoLB.aquiladom.com, MSOMSdkSvc/ContosoLB
Ebben a parancsban:
ContosogMSAa gMSA neve.ContosoLB.aquiladom.comA terheléselosztó DNS-neve. Használja ugyanazt a DNS-nevet a statikus IP-cím létrehozásához, és ugyanazt a DNS-nevet társítja a statikus IP-címhez, mint a 8. lépésben.ContosoServerGroupaz Active Directoryban (korábban megadott) létrehozott számítógépcsoport.MSOMHSvc/ContosoLB.aquiladom.com,SMSOMHSvc/ContosoLB,MSOMSdkSvc/ContosoLB.aquiladom.comésMSOMSdkSvc/ContosoLBa szolgáltatásnév nevei.
Feljegyzés
Ha a gMSA-név hosszabb 14 karakternél, győződjön meg arról, hogy 15 karakternél kevesebb karaktert állít be SamAccountName , beleértve a $ jelet is.
Ha a gyökérkulcs nem hatékony, használja a következő parancsot:
Add-KdsRootKey -EffectiveTime ((get-date).addhours(-10))
Győződjön meg arról, hogy a létrehozott gMSA-fiók helyi rendszergazdai fiók. Ha az Active Directory szintjén vannak csoportházirend-objektumszabályzatok a helyi rendszergazdáknál, győződjön meg arról, hogy a gMSA-fiókkal rendelkeznek helyi rendszergazdaként.
Fontos
Ha szeretné minimalizálni az Active Directory-rendszergazdával és a hálózati rendszergazdával való kiterjedt kommunikáció szükségességét, tekintse meg az önellenőrzést. A cikk ismerteti azokat az eljárásokat, amelyeket az Active Directory rendszergazdája és a hálózati rendszergazda a konfigurációs módosítások ellenőrzésére és sikeres implementálásuk biztosítására használ. Ez a folyamat csökkenti az Operations Manager rendszergazdája és az Active Directory rendszergazdája és a hálózati rendszergazda közötti szükségtelen interakciókat. Ez a konfiguráció időt takarít meg a rendszergazdák számára.