建立 Azure 監視器 SCOM 受控執行個體的電腦群組和群組受管理的服務帳戶
本文說明如何在內部部署 Active Directory 中建立群組受管理的服務帳戶 (gMSA) 帳戶、電腦群組和網域使用者帳戶。
注意
若要了解 Azure 監視器 SCOM 受控執行個體架構,請參閱 Azure 監視器 SCOM 受控執行個體。
Active Directory 必要條件
若要執行 Active Directory 作業,請安裝 RSAT:Active Directory Domain Services 和輕量型目錄工具功能。 然後安裝 Active Directory 使用者和電腦工具。 您可在具有網域連線能力的任何電腦上安裝此工具。 您必須使用系統管理員權限登入此工具,才能執行所有 Active Directory 作業。
在 Active Directory 中設定網域帳戶
在您的 Active Directory 執行個體中建立網域帳戶。 網域帳戶是典型的 Active Directory 帳戶。 (可以是非系統管理員帳戶。) 您可以使用此帳戶,將 System Center Operations Manager 管理伺服器新增至現有的網域。
請確定此帳戶具有將其他伺服器加入網域的權限。 如果現有網域帳戶具有這些權限,您可以使用。
您可以在後續步驟中使用已設定的網域帳戶來建立 SCOM 受控執行個體的執行個體和後續步驟。
建立和設定電腦群組
在您的 Active Directory 執行個體中建立電腦群組。 如需詳細資訊,請參閱在 Active Directory 中建立群組帳戶。 您建立的所有管理伺服器都會是該群組的一部分,以便群組的所有成員都可以擷取 gMSA 認證。 (您會在後續步驟中建立這些認證。) 群組名稱不能包含空格,而且只能有字母字元。
若要管理此電腦群組,請提供您所建立網域帳戶的權限。
選取群組屬性,然後選取 [管理者]。
針對 [名稱],輸入網域帳戶的名稱。
選取 [管理員可以更新成員資格清單] 核取方塊。
建立及設定 gMSA 帳戶
建立 gMSA 以執行管理服務,並驗證服務。 使用下列 PowerShell 命令來建立 gMSA 服務帳戶。 DNS 主機名稱也可以用來設定靜態 IP,並將相同的 DNS 名稱與步驟 8 中的靜態 IP 產生關聯。
New-ADServiceAccount ContosogMSA -DNSHostName "ContosoLB.aquiladom.com" -PrincipalsAllowedToRetrieveManagedPassword "ContosoServerGroup" -KerberosEncryptionType AES128, AES256 -ServicePrincipalNames MSOMHSvc/ContosoLB.aquiladom.com, MSOMHSvc/ContosoLB, MSOMSdkSvc/ContosoLB.aquiladom.com, MSOMSdkSvc/ContosoLB
在該命令中:
ContosogMSA是 gMSA 名稱。ContosoLB.aquiladom.com是負載平衡器的 DNS 名稱。 使用相同的 DNS 名稱來建立靜態 IP,並將相同的 DNS 名稱與步驟 8 中的靜態 IP 產生關聯。ContosoServerGroup是在 Active Directory 中建立的電腦群組 (先前指定)。MSOMHSvc/ContosoLB.aquiladom.com、SMSOMHSvc/ContosoLB、MSOMSdkSvc/ContosoLB.aquiladom.com和MSOMSdkSvc/ContosoLB具有服務主體名稱。
注意
如果 gMSA 名稱超過 14 個字元,請確定您設定的 SamAccountName 字元少於 15 個字元,包括 $ 符號。
如果根金鑰無效,請使用下列命令:
Add-KdsRootKey -EffectiveTime ((get-date).addhours(-10))
確定建立的 gMSA 帳戶是本機系統管理員帳戶。 如果 Active Directory 層級的本機系統管理員上有任何群組原則物件原則,請確定其具有 gMSA 帳戶作為本機系統管理員。
重要
若要將與 Active Directory 系統管理員和網路管理員廣泛通訊的需求降到最低,請參閱自我驗證。 本文概述 Active Directory 系統管理員和網路管理員用來驗證其設定變更,並確保其成功實作的程序。 此程序可減少從 Operations Manager 系統管理員到 Active Directory 系統管理員和網路管理員的非必要來回互動。此設定可為系統管理員節省時間。