다음을 통해 공유

Azure Monitor SCOM 관리되는 인스턴스에 대한 컴퓨터 그룹 및 그룹 관리 서비스 계정 만들기

  • 아티클

이 문서에서는 온-프레미스 Active Directory에서 gMSA(그룹 관리 서비스 계정) 계정, 컴퓨터 그룹 및 도메인 사용자 계정을 만드는 방법을 설명합니다.

참고 항목

Azure Monitor SCOM 관리되는 인스턴스 아키텍처에 대해 알아보려면 Azure Monitor SCOM 관리되는 인스턴스를 참조하세요.

Active Directory 필수 구성 요소

Active Directory 작업을 수행하려면 RSAT: Active Directory Domain Services 및 경량 디렉터리 도구 기능을 설치합니다. 그런 다음 Active Directory 사용자 및 컴퓨터 도구를 설치합니다. 도메인 연결이 있는 모든 컴퓨터에 이 도구를 설치할 수 있습니다. 모든 Active Directory 작업을 수행하려면 관리자 권한으로 이 도구에 로그인해야 합니다.

Active Directory에서 도메인 계정 구성

Active Directory 인스턴스에서 도메인 계정을 만듭니다. 도메인 계정은 일반적인 Active Directory 계정입니다. (관리자가 아닌 계정일 수 있습니다.) 이 계정을 사용하여 기존 도메인에 System Center Operations Manager 관리 서버를 추가합니다.

Active Directory 사용자를 보여 주는 스크린샷.

이 계정에 다른 서버를 사용자의 도메인에 조인시킬 수 있는 권한이 있는지 확인합니다. 이러한 권한이 있는 경우 기존 도메인 계정을 사용할 수 있습니다.

구성된 도메인 계정은 이후 단계에서 SCOM 관리되는 인스턴스의 인스턴스를 만들고 후속 단계를 수행하는 데 사용됩니다.

컴퓨터 그룹 만들기 및 구성

Active Directory 인스턴스에 컴퓨터 그룹을 만듭니다. 자세한 내용은 Active Directory에서 그룹 계정 만들기를 참조하세요. 만든 모든 관리 서버는 그룹의 모든 구성원이 gMSA 자격 증명을 검색할 수 있도록 이 그룹의 일부가 됩니다. (이후 단계에서 이러한 자격 증명을 만듭니다.) 그룹 이름에는 공백을 포함할 수 없으며 알파벳 문자만 있어야 합니다.

Active Directory 컴퓨터를 보여 주는 스크린샷.

이 컴퓨터 그룹을 관리하려면 만든 도메인 계정에 권한을 제공합니다.

  1. 그룹 속성을 선택한 다음 관리자를 선택합니다.

  2. 이름에 도메인 계정의 이름을 입력합니다.

  3. 관리자가 멤버 자격 목록을 업데이트할 수 있음 확인란을 선택합니다.

    서버 그룹 속성을 보여 주는 스크린샷.

gMSA 계정 만들기 및 구성

관리 서버 서비스를 실행하고 서비스를 인증하기 위해 gMSA를 만듭니다. 다음 PowerShell 명령을 사용하여 gMAS 서비스 계정을 만듭니다. DNS 호스트 이름은 고정 IP를 구성하고 8단계에서와 같이 동일한 DNS 이름을 고정 IP에 연결하는 데에도 사용할 수 있습니다.

New-ADServiceAccount ContosogMSA -DNSHostName "ContosoLB.aquiladom.com" -PrincipalsAllowedToRetrieveManagedPassword "ContosoServerGroup" -KerberosEncryptionType AES128, AES256 -ServicePrincipalNames MSOMHSvc/ContosoLB.aquiladom.com, MSOMHSvc/ContosoLB, MSOMSdkSvc/ContosoLB.aquiladom.com, MSOMSdkSvc/ContosoLB

해당 명령에서:

  • ContosogMSA는 gMSA 이름입니다.
  • ContosoLB.aquiladom.com은 부하 분산 장치의 DNS 이름입니다. 동일한 DNS 이름을 사용하여 고정 IP를 만들고 8단계에서와 같이 동일한 DNS 이름을 고정 IP에 연결합니다.
  • ContosoServerGroup은 Active Directory에 만들어진 컴퓨터 그룹입니다(이전에 지정됨).
  • MSOMHSvc/ContosoLB.aquiladom.com, SMSOMHSvc/ContosoLB, MSOMSdkSvc/ContosoLB.aquiladom.comMSOMSdkSvc/ContosoLB는 서비스 사용자 이름입니다.

참고 항목

gMSA 이름이 14자보다 긴 경우 $ 기호를 포함하여 SamAccountName을 15자 이내로 설정해야 합니다.

루트 키가 효과적이지 않으면 다음 명령을 사용합니다.

Add-KdsRootKey -EffectiveTime ((get-date).addhours(-10))

만들어진 gMSA 계정이 로컬 관리자 계정인지 확인합니다. Active Directory 수준에서 로컬 관리자에 그룹 정책 개체 정책이 있는 경우 로컬 관리자로 gMSA 계정이 있는지 확인합니다.

Important

Active Directory 관리자와 네트워크 관리자 모두와 광범위하게 통신할 필요성을 최소화하려면 자체 확인을 참조하세요. 이 문서에서는 Active Directory 관리자와 네트워크 관리자가 구성 변경 내용의 유효성을 검사하고 성공적인 구현을 보장하기 위해 사용하는 절차를 설명합니다. 이 프로세스를 통해 Operations Manager 관리자와 Active Directory 관리자, 네트워크 관리자 간의 불필요한 상호 작용이 줄어듭니다. 이 구성을 사용하면 관리자의 시간을 절약할 수 있습니다.

다음 단계

Azure Key Vault에 도메인 자격 증명 저장