Sdílet prostřednictvím

Připojení počítačů ve velkém měřítku pomocí zásad skupiny

  • Článek

Počítače s Windows připojené k Active Directory můžete připojit k serverům s podporou Azure Arc ve velkém měřítku pomocí zásad skupiny.

Nejprve budete muset nastavit místní vzdálenou sdílenou složku s agentem Connected Machine a upravit skript určující cílovou zónu serveru s podporou Arc v Rámci Azure. Potom spustíte skript, který vygeneruje objekt zásad skupiny (GPO) pro připojení skupiny počítačů k serverům s podporou Azure Arc. Tento objekt zásad skupiny lze použít na úrovni lokality, domény nebo organizace. Přiřazení může také používat seznam řízení přístupu (ACL) a další filtrování zabezpečení nativní pro zásady skupiny. Počítače v oboru zásad skupiny se připojí k serverům s podporou Azure Arc. Využte svůj objekt zásad skupin tak, aby zahrnoval pouze počítače, které chcete připojit ke službě Azure Arc.

Než začnete, nezapomeňte si projít požadavky a ověřit, že vaše předplatné a prostředky splňují požadavky. Informace o podporovaných oblastech a dalších souvisejících aspektech najdete v podporovaných oblastech Azure. Projděte si také našeho průvodce plánováním ve velkém měřítku a seznamte se s kritérii návrhu a nasazení a také s doporučeními pro správu a monitorování.

Pokud ještě nemáte předplatné Azure, vytvořte si napřed bezplatný účet.

Automatické připojení pro SQL Server

Když k Azure Arc připojíte server se systémem Windows nebo Linux, který má nainstalovaný i Microsoft SQL Server, instance SQL Serveru se automaticky připojí i k Azure Arc. SQL Server povolený službou Azure Arc poskytuje podrobný inventář a další možnosti správy pro instance a databáze SQL Serveru. V rámci procesu připojení se na server s podporou Azure Arc nasadí rozšíření a pro váš SQL Server a databáze se použijí nové role. Pokud nechcete automaticky připojit SQL Servery ke službě Azure Arc, můžete se odhlásit přidáním značky na server s Windows nebo Linuxem s názvem ArcSQLServerExtensionDeployment a hodnotou Disabled , když je připojený k Azure Arc.

Další informace se nachází v tématu Správa automatického připojení pro SQL Server, který povoluje Azure Arc.

Příprava vzdálené sdílené složky a vytvoření instančního objektu

Objekt zásad skupiny, který se používá k onboardingu serverů s podporou Azure Arc, vyžaduje vzdálenou sdílenou složku s agentem Connected Machine. Budete muset:

  1. Připravte vzdálenou sdílenou složku pro hostování balíčku agenta Azure Connected Machine pro Windows a konfigurační soubor. Musíte být schopni přidat soubory do distribuovaného umístění. Sdílená složka sítě by měla poskytovat řadiče domény a počítače domény s oprávněními Ke změně a správci domény s oprávněními úplné řízení.

  2. Postupujte podle pokynů k vytvoření instančního objektu pro onboarding ve velkém měřítku.

    • Přiřaďte roli onboardingu připojeného počítače Azure k instančnímu objektu a omezte rozsah role na cílovou zónu Azure.
    • Poznamenejte si tajný kód instančního objektu; Tuto hodnotu budete potřebovat později.

  3. Stáhněte a rozbalte složku ArcEnabledServersGroupPolicy_vX.X.X z https://github.com/Azure/ArcEnabledServersGroupPolicy/releases/latest/. Tato složka obsahuje strukturu projektu ArcGPO se skripty EnableAzureArc.ps1, DeployGPO.ps1a AzureArcDeployment.psm1. Tyto prostředky se použijí k onboardingu počítače k serverům s podporou Azure Arc.

  4. Stáhněte si nejnovější verzi balíčku Instalační služby agenta Azure Connected Machine z webu Microsoft Download Center a uložte ho do vzdálené sdílené složky.

  5. Spusťte skript DeployGPO.ps1nasazení , upravte parametry spuštění pro DomainFQDN, ReportServerFQDN, ArcRemoteShare, tajný klíč instančního objektu, ID klienta instančního objektu, ID předplatného, skupinu prostředků, oblast, tenanta a agentaProxy (pokud je k dispozici):

    .\DeployGPO.ps1 -DomainFQDN contoso.com -ReportServerFQDN Server.contoso.com -ArcRemoteShare AzureArcOnBoard -ServicePrincipalSecret $ServicePrincipalSecret -ServicePrincipalClientId $ServicePrincipalClientId -SubscriptionId $SubscriptionId -ResourceGroup $ResourceGroup -Location $Location -TenantId $TenantId [-AgentProxy $AgentProxy]

Použití objektu zásad skupiny

V konzole pro správu zásad skupiny (GPMC) klikněte pravým tlačítkem na požadovanou organizační jednotku a propojte objekt zásad skupiny s názvem [MSFT] Servery Azure Arc (datetime). Toto je objekt zásad skupiny, který má naplánovanou úlohu pro onboarding počítačů. Po 10 nebo 20 minutách se objekt zásad skupiny replikuje do příslušných řadičů domény. Přečtěte si další informace o vytváření a správě zásad skupiny ve službě Microsoft Entra Domain Services.

Po úspěšné instalaci agenta a jeho nakonfigurování pro připojení k serverům s podporou Azure Arc přejděte na web Azure Portal a ověřte, že se servery ve vaší organizační jednotce úspěšně připojily. Zobrazte si počítače na webu Azure Portal.

Důležité

Jakmile potvrdíte, že se vaše servery úspěšně zapnuly do služby Arc, zakažte objekt zásad skupiny. Zabráníte tak spuštění stejných příkazů PowerShellu v naplánovaných úlohách při restartování systému nebo při aktualizaci zásad skupiny.

Další kroky

  • Projděte si průvodce plánováním a nasazením a naplánujte nasazení serverů s podporou Služby Azure Arc v libovolném měřítku a implementujte centralizovanou správu a monitorování.
  • Projděte si informace o řešení potíží s připojením v průvodci agentem Connected Machine.
  • Zjistěte, jak spravovat počítač pomocí Služby Azure Policy, například konfigurace hosta virtuálního počítače, ověřit, že se počítač hlásí do očekávaného pracovního prostoru služby Log Analytics, jak povolit monitorování pomocí přehledů virtuálních počítačů a mnoho dalšího.
  • Přečtěte si další informace o zásadách skupiny.