Criar um grupo de computadores e uma conta gMSA para o SCOM do Azure Monitor Instância Gerenciada

  • Artigo

Este artigo descreve como criar uma conta de conta de serviço gerenciado por grupo (gMSA), um grupo de computadores e uma conta de usuário de domínio no Active Directory local.

Observação

Para saber mais sobre a arquitetura de Instância Gerenciada do SCOM do Azure Monitor, consulte SCOM do Azure Monitor Instância Gerenciada.

Pré-requisitos do Active Directory

Para executar operações do Active Directory, instale o recurso RSAT: Active Directory Domain Services e Lightweight Directory Tools. Em seguida, instale a ferramenta Usuários e Computadores do Active Directory. Você pode instalar essa ferramenta em qualquer computador que tenha conectividade de domínio. Você deve entrar nessa ferramenta com permissões de administrador para executar todas as operações do Active Directory.

Configurar uma conta de domínio no Active Directory

Crie uma conta de domínio em sua instância do Active Directory. A conta de domínio é uma conta típica do Active Directory. (Pode ser uma conta não administrador.) Use essa conta para adicionar os servidores de gerenciamento do System Center Operations Manager ao seu domínio existente.

Captura de tela que mostra os usuários do Active Directory.

Verifique se essa conta tem as permissões para ingressar outros servidores em seu domínio. Você pode usar uma conta de domínio existente se ela tiver essas permissões.

Use a conta de domínio configurada em etapas posteriores para criar uma instância do SCOM Instância Gerenciada e as etapas subsequentes.

Criar e configurar um grupo de computadores

Crie um grupo de computadores em sua instância do Active Directory. Para obter mais informações, consulte Criar uma conta de grupo no Active Directory. Todos os servidores de gerenciamento que você criar farão parte desse grupo para que todos os membros do grupo possam recuperar credenciais de gMSA. (Você cria essas credenciais em etapas posteriores.) O nome do grupo não pode conter espaços e deve ter apenas caracteres alfabéticos.

Captura de tela que mostra os computadores do Active Directory.

Para gerenciar esse grupo de computadores, forneça permissões para a conta de domínio que você criou.

  1. Selecione as propriedades do grupo e, em seguida, selecione Gerenciado por.

  2. Em Nome, insira o nome da conta de domínio.

  3. Marque a caixa de seleção Gerente pode atualizar lista de associação .

    Captura de tela que mostra as propriedades do grupo de servidores.

Criar e configurar uma conta gMSA

Crie uma gMSA para executar os serviços do servidor de gerenciamento e autenticar os serviços. Use o comando do PowerShell a seguir para criar uma conta de serviço gMSA. O nome do host DNS também pode ser usado para configurar o IP estático e associar o mesmo nome DNS ao IP estático como na etapa 8.

New-ADServiceAccount ContosogMSA -DNSHostName "ContosoLB.aquiladom.com" -PrincipalsAllowedToRetrieveManagedPassword "ContosoServerGroup" -KerberosEncryptionType AES128, AES256 -ServicePrincipalNames MSOMHSvc/ContosoLB.aquiladom.com, MSOMHSvc/ContosoLB, MSOMSdkSvc/ContosoLB.aquiladom.com, MSOMSdkSvc/ContosoLB

Nesse comando:

  • ContosogMSA é o nome da gMSA.
  • ContosoLB.aquiladom.com é o nome DNS do balanceador de carga. Use o mesmo nome DNS para criar o IP estático e associar o mesmo nome DNS ao IP estático como na etapa 8.
  • ContosoServerGroup é o grupo de computadores criado no Active Directory (especificado anteriormente).
  • MSOMHSvc/ContosoLB.aquiladom.com, SMSOMHSvc/ContosoLB, MSOMSdkSvc/ContosoLB.aquiladom.come MSOMSdkSvc/ContosoLB são nomes de entidade de serviço.

Observação

Se o nome gMSA tiver mais de 14 caracteres, defina SamAccountName com menos de 15 caracteres, incluindo o $ sinal.

Se a chave raiz não for eficaz, use o seguinte comando:

Add-KdsRootKey -EffectiveTime ((get-date).addhours(-10))

Verifique se a conta gMSA criada é uma conta de administrador local. Se houver políticas de objeto Política de Grupo nos administradores locais no nível do Active Directory, verifique se eles têm a conta gMSA como administrador local.

Importante

Para minimizar a necessidade de comunicação extensiva com o administrador do Active Directory e o administrador de rede, consulte Autoconfifique. O artigo descreve os procedimentos que o administrador do Active Directory e o administrador de rede usam para validar suas alterações de configuração e garantir sua implementação bem-sucedida. Esse processo reduz interações desnecessárias entre o administrador do Operations Manager e o administrador do Active Directory e o administrador de rede. Essa configuração economiza tempo para os administradores.

Próximas etapas

Armazenar credenciais de domínio no Azure Key Vault