Поделиться через

Подключение компьютеров в большом масштабе с помощью групповой политики

Вы можете подключить компьютеры с Windows, присоединенные к Windows, к серверам с поддержкой Azure Arc в масштабе с помощью групповой политики.

Сначала вы настроите удаленную общую папку, в которую размещается агент подключенного компьютера, а затем измените сценарий, указывающий целевую зону сервера с поддержкой Arc в Azure. Затем вы запустите сценарий, создающий объект групповой политики (GPO), чтобы подключить группу компьютеров к серверам с поддержкой Azure Arc. Этот объект групповой политики можно применять на уровне сайта, домена или организации. Назначение также может использовать список управления доступом (ACL) и другие фильтры безопасности, собственные для групповой политики. Все компьютеры в области групповой политики будут подключены к серверам с поддержкой Azure Arc, поэтому в области групповой политики необходимо включить только те компьютеры, которые требуется подключить к Azure Arc.

Прежде чем приступить к работе, убедитесь, что среда соответствует предварительным требованиям агента подключенного компьютера и требованиям к сети для развертывания серверов с поддержкой Azure Arc. Сведения о поддерживаемых регионах и других связанных вопросах см. в статье Поддерживаемые регионы Azure. Чтобы узнать больше о критериях проектирования и развертывания, ознакомьтесь с нашим руководством по планированию в масштабе.

Если у вас нет подписки Azure, создайте бесплатную учетную запись, прежде чем приступить к работе.

Автоматическое подключение для SQL Server

При подключении сервера Windows или Linux к Azure Arc с установленным Microsoft SQL Server экземпляры SQL Server автоматически подключаются к Azure Arc. SQL Server с поддержкой Azure Arc предоставляет возможности ведения подробного учета, а также дополнительные возможности управления для экземпляров SQL Server и баз данных. В рамках процесса подключения расширение развертывается на сервере с поддержкой Azure Arc, а новые роли применяются к SQL Server и базам данных. Если вы не хотите автоматически подключать серверы SQL Server к Azure Arc, можно отказаться, добавив тег на сервер Windows или Linux с именем ArcSQLServerExtensionDeployment и значением Disabled при подключении к Azure Arc.

Дополнительные сведения см. в разделе Управление автоматическим подключением для SQL Server с поддержкой Azure Arc.

Подготовка удаленного доступа и создание служебного аккаунта

Объект групповой политики, используемый для подключения серверов с поддержкой Azure Arc, требует удаленной общей папки с агентом Подключенной Машины.

  1. Подготовьте удаленный ресурс для размещения пакета агента подключенного компьютера Azure для Windows и файла конфигурации. Необходимо иметь возможность добавлять файлы в эту удаленную общую папку. Сетевая папка должна быть доступна контроллерами домена и компьютерами домена. Компьютеры домена должны иметь разрешения на изменение, а администраторы домена должны иметь разрешения на полный доступ.

  2. Выполните действия, чтобы создать служебный принципал для массового подключения.

    • Назначьте роль подключения подключенного компьютера Azure субъекту-службе. Ограничьте область роли целевой целевой зоной Azure.
    • Запишите ключ служебного субъекта; это значение понадобится позже.

  3. Скачайте и распакуйте папку ArcEnabledServersGroupPolicy_vX.X.Xhttps://github.com/Azure/ArcEnabledServersGroupPolicy/releases/latest/. Эта папка содержит структуру проекта ArcGPO со скриптами EnableAzureArc.ps1DeployGPO.ps1и AzureArcDeployment.psm1. Эти ресурсы используются для подключения компьютера к серверам с поддержкой Azure Arc.

  4. Скачайте последнюю версию пакета установщика Windows агента подключенной машины Azure из Центра загрузки Майкрософт и сохраните его в удаленном общем ресурсе.

  5. Выполните скрипт DeployGPO.ps1 развертывания на контроллере домена, изменив параметры выполнения для DomainFQDN, ReportServerFQDN, ArcRemoteShare, секрет субъекта-службы, идентификатор клиента субъекта-службы, идентификатор подписки, группу ресурсов, регион, клиент и AgentProxy (если применимо). Сведения об этих значениях можно найти в комментариях скрипта.

    Например, следующая команда развертывает объект групповой политики в домене contoso.com и копирует скрипт EnableAzureArc.ps1 подключения в удаленную общую папку AzureArcOnBoard на сервере Server.contoso.com :

    .\DeployGPO.ps1 -DomainFQDN contoso.com -ReportServerFQDN Server.contoso.com -ArcRemoteShare AzureArcOnBoard -ServicePrincipalSecret $ServicePrincipalSecret -ServicePrincipalClientId $ServicePrincipalClientId -SubscriptionId $SubscriptionId -ResourceGroup $ResourceGroup -Location $Location -TenantId $TenantId [-AgentProxy $AgentProxy]

Применение объекта групповой политики

В консоли управления групповыми политиками (GPMC) щелкните правой кнопкой мыши нужную подразделение организации и свяжите объект групповой политики с именем [MSFT] Azure Arc Servers (datetime). Этот объект групповой политики имеет запланированную задачу для подключения компьютеров. В течение 20 минут объект групповой политики реплицируется на соответствующие контроллеры домена. Дополнительные сведения о создании групповой политики и управлении ими в доменных службах Microsoft Entra см. в разделе "Администрирование групповой политики" в управляемом домене доменных служб Microsoft Entra.

Проверка успешного подключения

После установки и настройки агента убедитесь, что серверы в подразделении успешно подключены к Azure Arc. Это можно сделать, убедившись, что они отображаются на портале Azure в Разделе "Компьютеры Azure Arc".

Внимание

Убедившись, что серверы успешно подключены к Azure Arc, отключите объект групповой политики. Это предотвращает повторное выполнение команд PowerShell в запланированной задаче при перезагрузке системы или при обновлении групповой политики.

Следующие шаги

  • Last updated on