Creare un gruppo di computer e un account del servizio gestito del gruppo per Monitoraggio di Azure per il Istanza gestita SCOM di Monitoraggio di Azure
Questo articolo descrive come creare un account del servizio gestito dal gruppo, un gruppo di computer e un account utente di dominio in Active Directory locale.
Nota
Per informazioni sull'architettura Istanza gestita SCOM di Monitoraggio di Azure, vedere Monitoraggio di Azure Istanza gestita SCOM.
Prerequisiti di Active Directory
Per eseguire operazioni di Active Directory, installare la funzionalità Strumenti di amministrazione remota del server: Active Directory Domain Services e Lightweight Directory Tools. Installare quindi lo strumento di Utenti e computer di Active Directory. È possibile installare questo strumento in qualsiasi computer con connettività di dominio. È necessario accedere a questo strumento con autorizzazioni di amministratore per eseguire tutte le operazioni di Active Directory.
Configurare un account di dominio in Active Directory
Creare un account di dominio nell'istanza di Active Directory. L'account di dominio è un account Active Directory tipico. Può essere un account non amministratore. Questo account viene usato per aggiungere i server di gestione di System Center Operations Manager al dominio esistente.
Assicurarsi che questo account disponga delle autorizzazioni per aggiungere altri server al dominio. È possibile usare un account di dominio esistente se dispone di queste autorizzazioni.
Usare l'account di dominio configurato nei passaggi successivi per creare un'istanza di SCOM Istanza gestita e i passaggi successivi.
Creare e configurare un gruppo di computer
Creare un gruppo di computer nell'istanza di Active Directory. Per altre informazioni, vedere Creare un account di gruppo in Active Directory. Tutti i server di gestione creati faranno parte di questo gruppo in modo che tutti i membri del gruppo possano recuperare le credenziali del servizio gestito del gruppo. Queste credenziali vengono create nei passaggi successivi. Il nome del gruppo non può contenere spazi e deve contenere solo caratteri alfabetici.
Per gestire questo gruppo di computer, specificare le autorizzazioni per l'account di dominio creato.
Selezionare le proprietà del gruppo e quindi selezionare Gestito da.
In Nome immettere il nome dell'account di dominio.
Selezionare la casella di controllo Manager può aggiornare l'elenco di appartenenze .
Creare e configurare un account del servizio gestito del gruppo
Creare un account del servizio gestito del gruppo per eseguire i servizi del server di gestione e per autenticare i servizi. Usare il comando di PowerShell seguente per creare un account del servizio del servizio gestito del gruppo. Il nome host DNS può essere usato anche per configurare l'INDIRIZZO IP statico e associare lo stesso nome DNS all'INDIRIZZO IP statico del passaggio 8.
New-ADServiceAccount ContosogMSA -DNSHostName "ContosoLB.aquiladom.com" -PrincipalsAllowedToRetrieveManagedPassword "ContosoServerGroup" -KerberosEncryptionType AES128, AES256 -ServicePrincipalNames MSOMHSvc/ContosoLB.aquiladom.com, MSOMHSvc/ContosoLB, MSOMSdkSvc/ContosoLB.aquiladom.com, MSOMSdkSvc/ContosoLB
In tale comando:
ContosogMSAè il nome dell'account del servizio gestito del gruppo.ContosoLB.aquiladom.comè il nome DNS per il servizio di bilanciamento del carico. Usare lo stesso nome DNS per creare l'INDIRIZZO IP statico e associare lo stesso nome DNS all'INDIRIZZO IP statico del passaggio 8.ContosoServerGroupè il gruppo di computer creato in Active Directory (specificato in precedenza).MSOMHSvc/ContosoLB.aquiladom.com,SMSOMHSvc/ContosoLB,MSOMSdkSvc/ContosoLB.aquiladom.comeMSOMSdkSvc/ContosoLBsono nomi di entità servizio.
Nota
Se il nome del servizio gestito del gruppo è composto da più di 14 caratteri, assicurarsi di impostare SamAccountName un numero di caratteri inferiore a 15 caratteri, incluso il $ segno.
Se la chiave radice non è valida, usare il comando seguente:
Add-KdsRootKey -EffectiveTime ((get-date).addhours(-10))
Assicurarsi che l'account del servizio gestito del gruppo creato sia un account amministratore locale. Se sono presenti criteri oggetto Criteri di gruppo per gli amministratori locali a livello di Active Directory, assicurarsi che dispongano dell'account del servizio gestito del gruppo come amministratore locale.
Importante
Per ridurre al minimo la necessità di comunicazioni estese sia con l'amministratore di Active Directory che con l'amministratore di rete, vedere Auto-verifica. L'articolo descrive le procedure usate dall'amministratore di Active Directory e dall'amministratore di rete per convalidare le modifiche alla configurazione e garantire la corretta implementazione. Questo processo riduce le interazioni back-and-forth non necessarie dall'amministratore di Operations Manager all'amministratore di Active Directory e all'amministratore di rete. Questa configurazione consente di risparmiare tempo per gli amministratori.
Passaggi successivi
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per