Подключение компьютеров в большом масштабе с помощью групповой политики

Вы можете подключить компьютеры с Windows, подключенные к Active Directory, к серверам с поддержкой Azure Arc масштабно с помощью групповой политики.

Сначала необходимо настроить локальное удаленное хранилище с помощью агента Подключенного компьютера и изменить сценарий, указывающий зону размещения сервера с поддержкой Arc в Azure. Затем вы запустите скрипт, создающий объект групповой политики (GPO), чтобы подключить группу компьютеров к серверам с поддержкой Azure Arc. Этот объект групповой политики можно применить к сайту, домену или уровню организации. Назначение также может использовать список контроля доступа (ACL) и другие фильтры безопасности, свойственные групповой политике. Компьютеры в области групповой политики будут подключены к серверам с поддержкой Azure Arc. Ограничьте область действия групповой политики, чтобы охватывать только те компьютеры, которые требуется интегрировать в Azure Arc.

Прежде чем приступить к работе, ознакомьтесь с данными о необходимых компонентах и убедитесь, что подписка и ресурсы соответствуют требованиям. Сведения о поддерживаемых регионах и других связанных вопросах см. в статье Поддерживаемые регионы Azure. Кроме того, ознакомьтесь с нашим руководством по планированию для больших масштабов, чтобы понять критерии проектирования и развертывания, а также ознакомиться с рекомендациями по управлению и мониторингу.

Если у вас нет подписки Azure, создайте бесплатную учетную запись, прежде чем приступить к работе.

Автоматическое подключение для SQL Server

При подключении к Azure Arc сервера на Windows или Linux с установленным Microsoft SQL Server экземпляры SQL Server также будут автоматически подключены к Azure Arc. SQL Server с поддержкой Azure Arc предоставляет возможности ведения подробного учета, а также дополнительные возможности управления для экземпляров SQL Server и баз данных. В процессе подключения на сервере с поддержкой Azure Arc развертывается расширение, а к SQL Server и базам данных будут применены новые роли. Если вы не хотите автоматически подключать серверы SQL Server к Azure Arc, можно отказаться, добавив тег на сервер Windows или Linux с именем ArcSQLServerExtensionDeployment и значением Disabled при подключении к Azure Arc.

Дополнительные сведения см. в разделе Управление автоматическим подключением для SQL Server с поддержкой Azure Arc.

Подготовка удаленного доступа и создание служебного аккаунта

Объект групповой политики, используемый для подключения серверов с поддержкой Azure Arc, требует удаленной общей папки с агентом Подключенной Машины. Вам потребуется:

1. Подготовьте удаленный ресурс для размещения пакета агента подключенного компьютера Azure для Windows и файла конфигурации. Необходимо иметь возможность добавлять файлы в распределённое хранилище. Сетевая папка должна предоставлять контроллерам домена и компьютерам домена разрешения на изменение, а администраторам домена — разрешения на полное управление.

2. Выполните действия, чтобы создать служебный принципал для массового подключения.

   • Назначьте роль Azure Connected Machine Onboarding основной службе и ограничьте область роли целевой зоной размещения Azure.
   • Запишите ключ служебного субъекта; это значение понадобится позже.

3. Скачайте и распакуйте папку ArcEnabledServersGroupPolicy_vX.X.Xhttps://github.com/Azure/ArcEnabledServersGroupPolicy/releases/latest/. Эта папка содержит структуру проекта ArcGPO со скриптами EnableAzureArc.ps1DeployGPO.ps1и AzureArcDeployment.psm1. Эти ресурсы будут использоваться для подключения компьютера к серверам с поддержкой Azure Arc.

4. Скачайте последнюю версию пакета установщика Windows агента подключенной машины Azure из Центра загрузки Майкрософт и сохраните его в удаленном общем ресурсе.

5. Выполните скрипт DeployGPO.ps1 развертывания, изменив параметры выполнения для domainFQDN, ReportServerFQDN, ArcRemoteShare, секрета сервисного принципала, идентификатора клиента службы, идентификатора подписки, группы ресурсов, региона, арендатора и AgentProxy (если применимо):

   .\DeployGPO.ps1 -DomainFQDN contoso.com -ReportServerFQDN Server.contoso.com -ArcRemoteShare AzureArcOnBoard -ServicePrincipalSecret $ServicePrincipalSecret -ServicePrincipalClientId $ServicePrincipalClientId -SubscriptionId $SubscriptionId -ResourceGroup $ResourceGroup -Location $Location -TenantId $TenantId [-AgentProxy $AgentProxy]
   

Применение объекта групповой политики

В консоли управления групповыми политиками (GPMC) щелкните правой кнопкой мыши нужную организационную единицу и свяжите с ней объект групповой политики с именем [MSFT] Серверы Azure Arc (datetime). Это объект групповой политики, имеющий запланированную задачу для ввода компьютеров в эксплуатацию. Через 10 или 20 минут объект групповой политики будет реплицирован на соответствующие контроллеры домена. Узнайте больше о создании групповой политики и управлении ими в доменных службах Microsoft Entra.

После успешной установки агента и его настройки для подключения к серверам с поддержкой Azure Arc перейдите к портал Azure, чтобы убедиться, что серверы в подразделении успешно подключены. Просмотрите свои компьютеры на портале Azure.

Следующие шаги

• Ознакомьтесь с руководством по планированию и развертыванию, чтобы спланировать развертывание серверов с поддержкой Azure Arc в любом масштабе и реализацию централизованного управления и мониторинга.
• Просмотрите сведения об устранении неполадок подключения в руководстве агента подключенной машины.
• Узнайте, как управлять компьютером с помощью Политики Azure для таких вещей, как гостевая конфигурация виртуальной машины, проверка того, что компьютер сообщает в ожидаемую рабочую область Log Analytics, обеспечение мониторинга с помощью аналитики виртуальных машин и многого другого.
• Дополнительные сведения о групповой политике.