Azure İzleyici SCOM Yönetilen Örneği için bir bilgisayar grubu ve grup tarafından yönetilen hizmet hesabı oluşturma
Bu makalede, şirket içi Active Directory'da grup tarafından yönetilen hizmet hesabı (gMSA) hesabı, bilgisayar grubu ve etki alanı kullanıcı hesabının nasıl oluşturulacağı açıklanır.
Not
Azure İzleyici SCOM Yönetilen Örneği mimarisi hakkında bilgi edinmek için bkz . Azure İzleyici SCOM Yönetilen Örneği.
Active Directory önkoşulları
Active Directory işlemlerini gerçekleştirmek için RSAT: Active Directory Etki Alanı Services ve Lightweight Directory Tools özelliğini yükleyin. Ardından Active Directory Kullanıcıları ve Bilgisayarları aracını yükleyin. Bu aracı etki alanı bağlantısı olan herhangi bir makineye yükleyebilirsiniz. Tüm Active Directory işlemlerini gerçekleştirmek için bu araçta yönetici izinleriyle oturum açmanız gerekir.
Active Directory'de etki alanı hesabı yapılandırma
Active Directory örneğinizde bir etki alanı hesabı oluşturun. Etki alanı hesabı tipik bir Active Directory hesabıdır. (Yönetici olmayan bir hesap olabilir.) System Center Operations Manager yönetim sunucularını mevcut etki alanınıza eklemek için bu hesabı kullanırsınız.
Bu hesabın etki alanınıza diğer sunucuları ekleme izinlerine sahip olduğundan emin olun. Bu izinlere sahipse mevcut bir etki alanı hesabını kullanabilirsiniz.
Yapılandırılmış etki alanı hesabını sonraki adımlarda kullanarak SCOM Yönetilen Örneği'nin bir örneğini ve sonraki adımları oluşturursunuz.
Bilgisayar grubu oluşturma ve yapılandırma
Active Directory örneğinizde bir bilgisayar grubu oluşturun. Daha fazla bilgi için bkz . Active Directory'de grup hesabı oluşturma. Oluşturduğunuz tüm yönetim sunucuları, grubun tüm üyelerinin gMSA kimlik bilgilerini alabilmesi için bu grubun bir parçası olur. (Bu kimlik bilgilerini sonraki adımlarda oluşturursunuz.) Grup adında boşluk olamaz ve yalnızca alfabe karakterleri içermelidir.
Bu bilgisayar grubunu yönetmek için, oluşturduğunuz etki alanı hesabı için izinler sağlayın.
Grup özelliklerini ve ardından Yönetilen'i seçin.
Ad alanına etki alanı hesabının adını girin.
Yönetici üyelik listesini güncelleştirebilir onay kutusunu seçin.
gMSA hesabı oluşturma ve yapılandırma
Yönetim sunucusu hizmetlerini çalıştırmak ve hizmetlerin kimliğini doğrulamak için bir gMSA oluşturun. Bir gMSA hizmet hesabı oluşturmak için aşağıdaki PowerShell komutunu kullanın. DNS ana bilgisayar adı, statik IP'yi yapılandırmak ve 8. adımda olduğu gibi aynı DNS adını statik IP ile ilişkilendirmek için de kullanılabilir.
New-ADServiceAccount ContosogMSA -DNSHostName "ContosoLB.aquiladom.com" -PrincipalsAllowedToRetrieveManagedPassword "ContosoServerGroup" -KerberosEncryptionType AES128, AES256 -ServicePrincipalNames MSOMHSvc/ContosoLB.aquiladom.com, MSOMHSvc/ContosoLB, MSOMSdkSvc/ContosoLB.aquiladom.com, MSOMSdkSvc/ContosoLB
Bu komutta:
ContosogMSA
gMSA adıdır.ContosoLB.aquiladom.com
, yük dengeleyicinin DNS adıdır. Statik IP'yi oluşturmak ve 8. adımda olduğu gibi aynı DNS adını statik IP ile ilişkilendirmek için aynı DNS adını kullanın.ContosoServerGroup
, Active Directory'de oluşturulan bilgisayar grubudur (daha önce belirtilmiştir).MSOMHSvc/ContosoLB.aquiladom.com
,SMSOMHSvc/ContosoLB
,MSOMSdkSvc/ContosoLB.aquiladom.com
veMSOMSdkSvc/ContosoLB
hizmet asıl adlarıdır.
Not
gMSA adı 14 karakterden uzunsa, işaret de dahil olmak üzere 15 karakterden kısa bir değer ayarladığınızdan SamAccountName
$
emin olun.
Kök anahtar etkili değilse aşağıdaki komutu kullanın:
Add-KdsRootKey -EffectiveTime ((get-date).addhours(-10))
Oluşturulan gMSA hesabının yerel bir yönetici hesabı olduğundan emin olun. Yerel yöneticilerde Active Directory düzeyinde Grup İlkesi Nesne ilkeleri varsa, yerel yönetici olarak gMSA hesabına sahip olduklarından emin olun.
Önemli
Hem Active Directory yöneticiniz hem de ağ yöneticinizle kapsamlı iletişim gereksinimini en aza indirmek için bkz . Kendi kendine doğrulama. Makalede, Active Directory yöneticisinin ve ağ yöneticisinin yapılandırma değişikliklerini doğrulamak ve başarılı bir şekilde uygulanmasını sağlamak için kullandığı yordamlar özetlenmiştir. Bu işlem, Operations Manager yöneticisinden Active Directory yöneticisine ve ağ yöneticisine gereksiz ileri geri etkileşimleri azaltır. Bu yapılandırma yöneticiler için zaman kazandırır.