Dela via

Skapa en datorgrupp och ett grupphanterat tjänstkonto för Azure Monitor SCOM Managed Instance

  • Artikel

Den här artikeln beskriver hur du skapar ett grupphanterat tjänstkonto (gMSA) konto, datorgrupp och domänanvändarkonto i lokalni Active Directory.

Kommentar

Mer information om Azure Monitor SCOM Managed Instance-arkitekturen finns i Azure Monitor SCOM Managed Instance.

Krav för Active Directory

Installera funktionen RSAT: Usluge domena aktivnog direktorijuma och Lightweight Directory Tools för att utföra Active Directory-åtgärder. Installera sedan verktyget Active Directory-användare och datorer . Du kan installera det här verktyget på alla datorer som har domänanslutning. Du måste logga in på det här verktyget med administratörsbehörighet för att utföra alla Active Directory-åtgärder.

Konfigurera ett domänkonto i Active Directory

Skapa ett domänkonto i din Active Directory-instans. Domänkontot är ett typiskt Active Directory-konto. (Det kan vara ett icke-admin konto.) Du använder det här kontot för att lägga till System Center Operations Manager-hanteringsservrarna i din befintliga domän.

Skärmbild som visar Active Directory-användare.

Kontrollera att det här kontot har behörighet att ansluta andra servrar till din domän. Du kan använda ett befintligt domänkonto om det har dessa behörigheter.

Du använder det konfigurerade domänkontot i senare steg för att skapa en instans av SCOM Managed Instance och efterföljande steg.

Skapa och konfigurera en datorgrupp

Skapa en datorgrupp i din Active Directory-instans. Mer information finns i Skapa ett gruppkonto i Active Directory. Alla hanteringsservrar som du skapar kommer att ingå i den här gruppen så att alla medlemmar i gruppen kan hämta gMSA-autentiseringsuppgifter. (Du skapar dessa autentiseringsuppgifter i senare steg.) Gruppnamnet får inte innehålla blanksteg och får endast innehålla alfabetstecken.

Skärmbild som visar Active Directory-datorer.

Om du vill hantera den här datorgruppen anger du behörigheter till det domänkonto som du skapade.

  1. Välj gruppegenskaperna och välj sedan Hanterad av.

  2. Som Namn anger du namnet på domänkontot.

  3. Markera kryssrutan Manager can update membership list (Hanteraren kan uppdatera medlemskapslistan ).

    Skärmbild som visar egenskaper för servergrupper.

Skapa och konfigurera ett gMSA-konto

Skapa en gMSA för att köra hanteringsservertjänsterna och autentisera tjänsterna. Använd följande PowerShell-kommando för att skapa ett gMSA-tjänstkonto. DNS-värdnamnet kan också användas för att konfigurera den statiska IP-adressen och associera samma DNS-namn med den statiska IP-adressen som i steg 8.

New-ADServiceAccount ContosogMSA -DNSHostName "ContosoLB.aquiladom.com" -PrincipalsAllowedToRetrieveManagedPassword "ContosoServerGroup" -KerberosEncryptionType AES128, AES256 -ServicePrincipalNames MSOMHSvc/ContosoLB.aquiladom.com, MSOMHSvc/ContosoLB, MSOMSdkSvc/ContosoLB.aquiladom.com, MSOMSdkSvc/ContosoLB

I det kommandot:

  • ContosogMSA är gMSA-namnet.
  • ContosoLB.aquiladom.com är DNS-namnet för lastbalanseraren. Använd samma DNS-namn för att skapa den statiska IP-adressen och associera samma DNS-namn med den statiska IP-adressen som i steg 8.
  • ContosoServerGroup är datorgruppen som skapats i Active Directory (angavs tidigare).
  • MSOMHSvc/ContosoLB.aquiladom.com, SMSOMHSvc/ContosoLB, MSOMSdkSvc/ContosoLB.aquiladom.comoch MSOMSdkSvc/ContosoLB är tjänstens huvudnamn.

Kommentar

Om gMSA-namnet är längre än 14 tecken kontrollerar du att du anger SamAccountName mindre än 15 tecken, inklusive $ tecknet.

Om rotnyckeln inte är effektiv använder du följande kommando:

Add-KdsRootKey -EffectiveTime ((get-date).addhours(-10))

Kontrollera att det skapade gMSA-kontot är ett lokalt administratörskonto. Om det finns några grupprincipobjektprinciper på de lokala administratörerna på Active Directory-nivå kontrollerar du att de har gMSA-kontot som lokal administratör.

Viktigt!

Information om hur du minimerar behovet av omfattande kommunikation med både active directory-administratören och nätverksadministratören finns i Självverifiering. Artikeln beskriver de procedurer som Active Directory-administratören och nätverksadministratören använder för att verifiera sina konfigurationsändringar och säkerställa att de implementeras korrekt. Den här processen minskar onödiga interaktioner fram och tillbaka från Operations Manager-administratören till Active Directory-administratören och nätverksadministratören. Den här konfigurationen sparar tid för administratörerna.

Nästa steg

Lagra domänautentiseringsuppgifter i Azure Key Vault