Condividi tramite

Creare un gruppo di computer e un account del servizio gestito dal gruppo per Monitoraggio di Azure Istanza gestita

  • Articolo

Questo articolo descrive come creare un account del servizio gestito dal gruppo , un gruppo di computer e un account utente di dominio in Active Directory locale.

Nota

Per informazioni sull'architettura di Istanza gestita SCOM di Monitoraggio di Azure, vedere Monitoraggio di Azure Istanza gestita SCOM.

Prerequisiti di Active Directory

Per eseguire operazioni di Active Directory, installare la funzionalità Strumenti di amministrazione remota del server: Dominio di Active Directory Services e Lightweight Directory Tools. Installare quindi lo strumento Utenti e computer di Active Directory. È possibile installare questo strumento in qualsiasi computer con connettività di dominio. Per eseguire tutte le operazioni di Active Directory, è necessario accedere a questo strumento con autorizzazioni di amministratore.

Configurare un account di dominio in Active Directory

Creare un account di dominio nell'istanza di Active Directory. L'account di dominio è un account Active Directory tipico. Può essere un account non amministratore. Usare questo account per aggiungere i server Management di System Center Operations Manager al dominio esistente.

Screenshot che mostra gli utenti di Active Directory.

Assicurarsi che questo account disponga delle autorizzazioni per aggiungere altri server al dominio. Se dispone di queste autorizzazioni, è possibile usare un account di dominio esistente.

L'account di dominio configurato viene usato nei passaggi successivi per creare un'istanza di SCOM Istanza gestita e i passaggi successivi.

Creare e configurare un gruppo di computer

Creare un gruppo di computer nell'istanza di Active Directory. Per altre informazioni, vedere Creare un account di gruppo in Active Directory. Tutti i server Management creati faranno parte di questo gruppo in modo che tutti i membri del gruppo possano recuperare le credenziali dell'account del servizio gestito di gruppo. Queste credenziali vengono create nei passaggi successivi. Il nome del gruppo non può contenere spazi e deve contenere solo caratteri alfabetici.

Screenshot che mostra i computer Active Directory.

Per gestire questo gruppo di computer, fornire le autorizzazioni per l'account di dominio creato.

  1. Selezionare le proprietà del gruppo e quindi selezionare Gestito da.

  2. In Nome immettere il nome dell'account di dominio.

  3. Selezionare la casella di controllo Manager può aggiornare l'elenco di appartenenze.

    Screenshot che mostra le proprietà del gruppo di server.

Creare e configurare un account del servizio gestito del gruppo

Creare un account del servizio gestito del gruppo per eseguire i servizi del server di gestione e per autenticare i servizi. Per creare un account del servizio gestito di gruppo, usare il comando PowerShell seguente. Il nome host DNS può essere usato anche per configurare l'INDIRIZZO IP statico e associare lo stesso nome DNS all'INDIRIZZO IP statico del passaggio 8.

New-ADServiceAccount ContosogMSA -DNSHostName "ContosoLB.aquiladom.com" -PrincipalsAllowedToRetrieveManagedPassword "ContosoServerGroup" -KerberosEncryptionType AES128, AES256 -ServicePrincipalNames MSOMHSvc/ContosoLB.aquiladom.com, MSOMHSvc/ContosoLB, MSOMSdkSvc/ContosoLB.aquiladom.com, MSOMSdkSvc/ContosoLB

In tale comando:

  • ContosogMSA è il nome dell'account del servizio gestito del gruppo.
  • ContosoLB.aquiladom.com è il nome DNS per il servizio di bilanciamento del carico. Usare lo stesso nome DNS per creare l'INDIRIZZO IP statico e associare lo stesso nome DNS all'INDIRIZZO IP statico del passaggio 8.
  • ContosoServerGroup è il gruppo di computer creato in Active Directory (specificato in precedenza).
  • MSOMHSvc/ContosoLB.aquiladom.comMSOMSdkSvc/ContosoLB.aquiladom.com, SMSOMHSvc/ContosoLB, e MSOMSdkSvc/ContosoLB sono nomi di entità servizio.

Nota

Se il nome dell'account del servizio gestito del gruppo è più lungo di 14 caratteri, assicurarsi di impostare SamAccountName con meno di 15 caratteri, incluso il $ segno.

Se la chiave radice non è efficace, usare il comando seguente:

Add-KdsRootKey -EffectiveTime ((get-date).addhours(-10))

Assicurarsi che l'account del servizio gestito del gruppo creato sia un account amministratore locale. Se sono presenti criteri di oggetto Criteri di gruppo per gli amministratori locali a livello di Active Directory, assicurarsi di avere l'account del servizio gestito del gruppo come amministratore locale.

Importante

Per ridurre al minimo la necessità di una comunicazione estesa sia con l'amministratore di Active Directory che con l'amministratore di rete, vedere Verifica automatica. L'articolo descrive le procedure usate dall'amministratore di Active Directory e dall'amministratore di rete per convalidare le modifiche di configurazione e garantire la corretta implementazione. Questo processo riduce le interazioni non necessarie dall'amministratore di Operations Manager all'amministratore di Active Directory e all'amministratore di rete. Questa configurazione consente di risparmiare tempo per gli amministratori.

Passaggi successivi

Archiviare le credenziali di dominio in Azure Key Vault