Share via

为 Azure Monitor SCOM 托管实例创建计算机组和 gMSA 帐户

  • 项目

本文介绍如何在 本地 Active Directory 中创建组托管服务帐户 (gMSA) 帐户、计算机组和域用户帐户。

注意

若要了解 Azure Monitor SCOM 托管实例体系结构,请参阅 Azure Monitor SCOM 托管实例

Active Directory 先决条件

若要执行 Active Directory 操作,请安装 RSAT:Active Directory 域服务 和轻型目录工具功能。 然后安装Active Directory 用户和计算机工具。 可以在具有域连接的任何计算机上安装此工具。 必须使用管理员权限登录到此工具才能执行所有 Active Directory 操作。

在 Active Directory 中配置域帐户

在 Active Directory 实例中创建域帐户。 域帐户是典型的 Active Directory 帐户。 (它可以是非管理员帐户。) 使用此帐户将 System Center Operations Manager 管理服务器添加到现有域。

显示 Active Directory 用户的屏幕截图。

确保此帐户 有权将其他 服务器加入域。 如果现有域帐户具有这些权限,则可以使用该帐户。

在后续步骤中使用配置的域帐户来创建 SCOM 的实例托管实例和后续步骤。

创建和配置计算机组

在 Active Directory 实例中创建计算机组。 有关详细信息,请参阅 在 Active Directory 中创建组帐户。 创建的所有管理服务器都将是此组的一部分,以便组的所有成员都可以检索 gMSA 凭据。 (在后面的步骤中创建这些凭据。) 组名称不能包含空格,并且只能包含字母字符。

显示 Active Directory 计算机的屏幕截图。

若要管理此计算机组,请提供对所创建的域帐户的权限。

  1. 选择组属性,然后选择“ 托管人”。

  2. 对于 “名称”,输入域帐户的名称。

  3. 选中“ 经理可以更新成员身份列表 ”复选框。

    显示服务器组属性的屏幕截图。

创建和配置 gMSA 帐户

创建 gMSA 以运行管理服务器服务和对服务进行身份验证。 使用以下 PowerShell 命令创建 gMSA 服务帐户。 DNS 主机名还可用于配置静态 IP,并将与 步骤 8 中相同的 DNS 名称关联到静态 IP。

New-ADServiceAccount ContosogMSA -DNSHostName "ContosoLB.aquiladom.com" -PrincipalsAllowedToRetrieveManagedPassword "ContosoServerGroup" -KerberosEncryptionType AES128, AES256 -ServicePrincipalNames MSOMHSvc/ContosoLB.aquiladom.com, MSOMHSvc/ContosoLB, MSOMSdkSvc/ContosoLB.aquiladom.com, MSOMSdkSvc/ContosoLB

在该命令中:

  • ContosogMSA 是 gMSA 名称。
  • ContosoLB.aquiladom.com 是负载均衡器的 DNS 名称。 使用与 步骤 8 中相同的 DNS 名称创建静态 IP 并将相同的 DNS 名称关联到静态 IP。
  • ContosoServerGroup 是在 Active Directory 中创建的计算机组, (前面) 指定。
  • MSOMHSvc/ContosoLB.aquiladom.comSMSOMHSvc/ContosoLBMSOMSdkSvc/ContosoLB.aquiladom.comMSOMSdkSvc/ContosoLB 是服务主体名称。

注意

如果 gMSA 名称长度超过 14 个字符,请确保设置为 SamAccountName 少于 15 个字符(包括 $ 符号)。

如果根密钥无效,请使用以下命令:

Add-KdsRootKey -EffectiveTime ((get-date).addhours(-10))

确保创建的 gMSA 帐户是本地管理员帐户。 如果 Active Directory 级别的本地管理员有任何组策略对象策略,请确保他们具有 gMSA 帐户作为本地管理员。

重要

若要最大程度地减少与 Active Directory 管理员和网络管理员进行广泛通信的需求,请参阅 自验证。 本文概述了 Active Directory 管理员和网络管理员用于验证其配置更改并确保其成功实现的过程。 此过程减少了从 Operations Manager 管理员到 Active Directory 管理员和网络管理员的不必要的来回交互。此配置为管理员节省时间。

后续步骤

在 Azure 密钥保管库 中存储域凭据