Créer un groupe d’ordinateurs et un compte de service administré par un groupe pour instance SCOM gérée d’Azure Monitor

Cet article explique comment créer un compte de service administré par un groupe (gMSA), un groupe d’ordinateurs et un compte d’utilisateur de domaine dans Active Directory local.

Remarque

Pour en savoir plus sur l’architecture de l’instance SCOM gérée d’Azure Monitor, consultez Instance SCOM gérée d’Azure Monitor.

Prérequis d’Active Directory

Pour effectuer des opérations Active Directory, installez la fonctionnalité RSAT : Active Directory Domain Services et Lightweight Directory Tools. Installez ensuite l’outil Utilisateurs et ordinateurs Active Directory. Vous pouvez installer cet outil sur n’importe quel ordinateur disposant d’une connectivité de domaine. Vous devez vous connecter à cet outil avec des autorisations d’administrateur pour effectuer toutes les opérations Active Directory.

Configurer un compte de domaine dans Active Directory

Créez un compte de domaine dans votre instance Active Directory. Le compte de domaine est un compte Active Directory classique. (Il peut s’agir d’un compte non administrateur.) Vous utilisez ce compte pour ajouter les serveurs d’administration System Center Operations Manager à votre domaine existant.

Capture d’écran montrant les utilisateurs Active Directory.

Vérifiez que ce compte dispose des autorisations nécessaires pour joindre d’autres serveurs à votre domaine. Vous pouvez utiliser un compte de domaine existant s’il dispose de ces autorisations.

Vous utilisez le compte de domaine configuré dans les étapes ultérieures pour créer une instance SCOM gérée et les étapes suivantes.

Créer et configurer un groupe d’ordinateurs

Créez un groupe d’ordinateurs dans votre instance Active Directory. Pour plus d’informations, consultez Créer un compte de groupe dans Active Directory. Tous les serveurs d’administration que vous créez feront partie de ce groupe afin que tous les membres du groupe puissent récupérer les identifiants gMSA. (Vous créerez ces identifiants dans les étapes suivantes.) Le nom du groupe ne peut pas contenir d’espaces et doit comporter uniquement des caractères alphabétiques.

Capture d’écran montrant les ordinateurs Active Directory.

Pour gérer ce groupe d’ordinateurs, fournissez des autorisations au compte de domaine que vous avez créé.

  1. Sélectionnez les propriétés du groupe, puis sélectionnez Géré par.

  2. Pour Nom, entrez le nom du compte de domaine.

  3. Cochez la case Le gestionnaire peur mettre à jour la liste d’appartenance.

    Capture d’écran montrant les propriétés du groupe de serveurs.

Créer et configurer un compte gMSA

Créez un compte gMSA pour exécuter les services du serveur d’administration et authentifier les services. Pour créer un compte de service gMSA, utilisez la commande PowerShell suivante. Vous pouvez également utiliser le nom d’hôte DNS pour configurer l’adresse IP statique et associer le même nom DNS à l’adresse IP statique qu’à l’étape 8.

New-ADServiceAccount ContosogMSA -DNSHostName "ContosoLB.aquiladom.com" -PrincipalsAllowedToRetrieveManagedPassword "ContosoServerGroup" -KerberosEncryptionType AES128, AES256 -ServicePrincipalNames MSOMHSvc/ContosoLB.aquiladom.com, MSOMHSvc/ContosoLB, MSOMSdkSvc/ContosoLB.aquiladom.com, MSOMSdkSvc/ContosoLB 

Dans cette commande :

  • ContosogMSA est le nom de gMSA.
  • ContosoLB.aquiladom.com est le nom DNS de l’équilibreur de charge. Utilisez le même nom DNS pour créer l’adresse IP statique et associer le même nom DNS à l’adresse IP statique qu’à l’étape 8.
  • ContosoServerGroup est le groupe d’ordinateurs créé dans Active Directory (spécifié précédemment).
  • MSOMHSvc/ContosoLB.aquiladom.com, SMSOMHSvc/ContosoLB, MSOMSdkSvc/ContosoLB.aquiladom.com et MSOMSdkSvc/ContosoLB sont des noms des principaux du service.

Remarque

Si le nom gMSA est supérieur à 14 caractères, vérifiez que vous définissez SamAccountName à moins de 15 caractères, y compris le signe $.

Si la clé racine n’est pas efficace, utilisez la commande suivante :

Add-KdsRootKey -EffectiveTime ((get-date).addhours(-10)) 

Vérifiez que le compte gMSA créé est un compte d’administrateur local. S’il existe des stratégies d’objet de stratégie de groupe (GPO) sur les administrateurs locaux au niveau d’Active Directory, assurez-vous qu’ils disposent du compte gMSA en tant qu’administrateur local.

Important

Pour réduire au minimum la nécessité d’une communication détaillée avec votre administrateur Active Directory et avec l’administrateur réseau, consultez Auto-vérification. L’article décrit les procédures utilisées par l’administrateur Active Directory et par l’administrateur réseau pour valider les modifications qu’ils apportent à la configuration et pour garantir la réussite de leur implémentation. Ce processus réduit les allers-retours inutiles entre l’administrateur Operations Manager, l’administrateur Active Directory et l’administrateur réseau. Cette configuration permet aux administrateurs de gagner du temps.

Étapes suivantes

Stocker les informations d’identification dans Azure Key Vault