Azure Monitor SCOM Managed Instance 대한 컴퓨터 그룹 및 gMSA 계정 만들기
이 문서에서는 온-프레미스 Active Directory gMSA(그룹 관리 서비스 계정) 계정, 컴퓨터 그룹 및 도메인 사용자 계정을 만드는 방법을 설명합니다.
참고
Azure Monitor SCOM Managed Instance 아키텍처에 대한 자세한 내용은 Azure Monitor SCOM Managed Instance 참조하세요.
Active Directory 필수 구성 요소
Active Directory 작업을 수행하려면 RSAT: Active Directory Domain Services 및 경량 디렉터리 도구 기능을 설치합니다. 그런 다음, Active Directory 사용자 및 컴퓨터 도구를 설치합니다. 도메인 연결이 있는 모든 컴퓨터에 이 도구를 설치할 수 있습니다. 모든 Active Directory 작업을 수행하려면 관리자 권한으로 이 도구에 로그인해야 합니다.
Active Directory에서 도메인 계정 구성
Active Directory instance 도메인 계정을 만듭니다. 도메인 계정은 일반적인 Active Directory 계정입니다. (비고급 계정일 수 있습니다.) 이 계정을 사용하여 기존 도메인에 System Center Operations Manager 관리 서버를 추가합니다.
이 계정에 다른 서버를 도메인에 가입할 수 있는 권한이 있는지 확인합니다. 이러한 권한이 있는 경우 기존 도메인 계정을 사용할 수 있습니다.
이후 단계에서 구성된 도메인 계정을 사용하여 SCOM Managed Instance 및 후속 단계의 instance 만듭니다.
컴퓨터 그룹 만들기 및 구성
Active Directory instance 컴퓨터 그룹을 만듭니다. 자세한 내용은 Active Directory에서 그룹 계정 만들기를 참조하세요. 만든 모든 관리 서버는 그룹의 모든 구성원이 gMSA 자격 증명을 검색할 수 있도록 이 그룹의 일부가 됩니다. (이후 단계에서 이러한 자격 증명을 만듭니다.) 그룹 이름은 공백을 포함할 수 없으며 알파벳 문자만 포함해야 합니다.
이 컴퓨터 그룹을 관리하려면 만든 도메인 계정에 대한 권한을 제공합니다.
그룹 속성을 선택한 다음 관리 대상을 선택합니다.
이름에 도메인 계정의 이름을 입력합니다.
관리자가 멤버 자격 목록을 업데이트할 수 있음 확인란을 선택합니다.
gMSA 계정 만들기 및 구성
관리 서버 서비스를 실행하고 서비스를 인증하는 gMSA를 만듭니다. 다음 PowerShell 명령을 사용하여 gMSA 서비스 계정을 만듭니다. DNS 호스트 이름을 사용하여 고정 IP를 구성하고 8단계와 동일한 DNS 이름을 고정 IP에 연결할 수도 있습니다.
New-ADServiceAccount ContosogMSA -DNSHostName "ContosoLB.aquiladom.com" -PrincipalsAllowedToRetrieveManagedPassword "ContosoServerGroup" -KerberosEncryptionType AES128, AES256 -ServicePrincipalNames MSOMHSvc/ContosoLB.aquiladom.com, MSOMHSvc/ContosoLB, MSOMSdkSvc/ContosoLB.aquiladom.com, MSOMSdkSvc/ContosoLB
해당 명령에서:
ContosogMSA는 gMSA 이름입니다.ContosoLB.aquiladom.com는 부하 분산 장치의 DNS 이름입니다. 동일한 DNS 이름을 사용하여 고정 IP를 만들고 8단계와 동일한 DNS 이름을 고정 IP에 연결합니다.ContosoServerGroup는 Active Directory에서 만든 컴퓨터 그룹입니다(이전에 지정됨).MSOMHSvc/ContosoLB.aquiladom.com,SMSOMHSvc/ContosoLB,MSOMSdkSvc/ContosoLB.aquiladom.com및MSOMSdkSvc/ContosoLB는 서비스 주체 이름입니다.
참고
gMSA 이름이 14자보다 긴 경우 기호를 포함하여 $ 15자 미만으로 설정 SamAccountName 해야 합니다.
루트 키가 유효하지 않으면 다음 명령을 사용합니다.
Add-KdsRootKey -EffectiveTime ((get-date).addhours(-10))
생성된 gMSA 계정이 로컬 관리자 계정인지 확인합니다. Active Directory 수준의 로컬 관리자에 그룹 정책 개체 정책이 있는 경우 gMSA 계정이 로컬 관리자로 있는지 확인합니다.
중요
Active Directory 관리자 및 네트워크 관리자와 광범위한 통신의 필요성을 최소화하려면 자체 확인을 참조하세요. 이 문서에서는 Active Directory 관리자 및 네트워크 관리자가 구성 변경 내용의 유효성을 검사하고 성공적인 구현을 보장하기 위해 사용하는 절차를 간략하게 설명합니다. 이 프로세스는 Operations Manager 관리자에서 Active Directory 관리자 및 네트워크 관리자로의 불필요한 상호 작용을 줄입니다. 이 구성은 관리자의 시간을 절약합니다.
다음 단계
피드백
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요. https://aka.ms/ContentUserFeedback
다음에 대한 사용자 의견 제출 및 보기