Compartilhar via

Girar segredos no Azure Local

  • Artigo

Aplica-se a: Azure Local 2311.2 e posterior

Este artigo descreve como alterar a senha associada ao usuário de implantação no Azure Local.

Alterar senha de usuário de implantação

Use o cmdlet Set-AzureStackLCMUserPassword do PowerShell para rotacionar osAzureStackLCMUserCredential segredos de credencial do administrador de domínios. Esse cmdlet altera a senha do usuário que se conecta aos hosts do servidor.

Observação

Quando você executa Set-AzureStackLCMUserPassword, o cmdlet atualiza apenas o que foi alterado anteriormente no Active Directory.

Cmdlet e propriedades do PowerShell

O cmdlet Set-AzureStackLCMUserPassword utiliza os seguintes parâmetros:

Parâmetro Descrição
Identity Nome de usuário do usuário cuja senha você deseja alterar.
OldPassword A senha atual do usuário.
NewPassword A nova senha do usuário.
UpdateAD Parâmetro opcional utilizado para definir uma nova senha no Active Directory.

Executar o cmdlet Definir-AzureStackLCMUserPassword

Defina os parâmetros e execute o cmdlet Set-AzureStackLCMUserPassword para alterar a senha:

$old_pass = convertto-securestring "<Old password>" -asplaintext -force
$new_pass = convertto-securestring "<New password>" -asplaintext -force

Set-AzureStackLCMUserPassword -Identity mgmt -OldPassword $old_pass -NewPassword $new_pass -UpdateAD

Depois que a senha for alterada, a sessão será encerrada. Será necessário entrar então com a senha atualizada.

Esta é uma saída de exemplo ao utilizar Set-AzureStackLCMUserPassword:

PS C:\Users\MGMT> $old_pass = convertto-securestring "Passwordl23!" -asplaintext -force 
PS C:\Users\MGMT> $new_pass = convertto-securestring "Passwordl23!1" -asplaintext -force
PS C:\Users\MGMT> Set-AzureStackLCMUserPassword -Identity mgmt -OldPassword $old_pass -NewPassword $new_pass -UpdateAD 
WARNING: !WARNING!
The current session will be unresponsive once this command completes. You will have to login again with updated credentials. Do you want to continue?
Updating password in AD.
WARNING: Please close this session and log in again.
PS C:\Users\MGMT>

Alterar chave da conta de armazenamento de testemunhas de cluster

Esta seção descreve como você pode alterar a chave de contas de armazenamento de testemunhas de cluster.

  1. Entre em um dos nós locais do Azure usando credenciais de usuário de implantação.

  2. Configure o quorum de testemunha usando a chave de conta de armazenamento secundária:

    Set-ClusterQuorum -CloudWitness -AccountName <storage account name> -AccessKey <storage account secondary key>

  3. Gire a chave primária da conta de armazenamento.

  4. Configure o quorum de testemunha utilizando a chave de conta de armazenamento rotacionada:

    Set-ClusterQuorum -CloudWitness -AccountName <storage account name> -AccessKey <storage account primary key>

  5. Gire a chave secundária da conta de armazenamento.

  6. Atualize a chave primária da conta de armazenamento no repositório ECE:

    $SecureSecretText = ConvertTo-SecureString -String "<Replace Storage account key>" -AsPlainText -Force
$WitnessCred = New-Object -Type PSCredential -ArgumentList "WitnessCredential,$SecureSecretText"
Set-ECEServiceSecret -ContainerName WitnessCredential -Credential $WitnessCred

Revogar token de SAS da conta de armazenamento utilizada para imagens de VM do Arc

Esta seção descreve como você pode revogar o token SAS (Assinatura de Acesso Compartilhado) para a conta de armazenamento usada para imagens de VM arc.

Política de SAS SAS expirado? Etapas para revogar
Qualquer SAS Sim Nenhuma ação é necessária, pois a SAS não é mais válida.
SAS ad hoc assinado com uma chave de conta Não Rotacionar manualmente ou regenerar chave de conta de armazenamento utlizada para criar SAS.
SAS ad hoc assinado com uma chave de delegação de usuário Não Para revogar a chave de delegação de usuário ou alterar as atribuições de função, consulte Revogar SAS de delegação de usuário.
SAS com política de acesso armazenado Não Para atualizar a hora de expiração para uma data ou hora anterior ou excluir a política de acesso armazenada, consulte Modificar ou revogar uma política de acesso armazenada.

Para mais informações, consulte Revogar um SAS.

Alterar entidade de serviço de implantação

Esta seção descreve como você pode alterar a entidade de serviço utilizada para implantação.

Observação

Esse cenário é aplicável apenas quando o software Azure Local 2306 foi atualizado para o Azure Local, versão 23H2.

Para alterar a entidade de serviço de implantação, siga estas etapas:

  1. Entre em seu Microsoft Entra ID.

  2. Localize a entidade de serviço utilizada ao implantar a instância do Azure Local. Crie um novo segredo de cliente para a entidade de serviço.

  3. Anote o appID para a entidade de serviço existente e o novo <client secret>.

  4. Entre em um de seus computadores do Azure Local utilizando as credenciais de usuário de implantação.

  5. Inicie sessão no Azure. Execute o seguinte comando do PowerShell:

    Connect-AzAccount

  6. Definir o contexto da assinatura. Execute o seguinte comando do PowerShell:

    Set-AzContext -Subscription <Subscription ID>

  7. Atualize o nome da entidade de serviço. Execute os seguintes comandos do PowerShell:

    cd "C:\Program Files\WindowsPowerShell\Modules\Microsoft.AS.ArcIntegration"
Import-Module Microsoft.AS.ArcIntegration.psm1 -Force
$secretText=ConvertTo-SecureString -String <client secret> -AsPlainText -Force
Update-ServicePrincipalName -AppId <appID> -SecureSecretText $secretText

Alterar o segredo da entidade de serviço ARB

Esta seção descreve como alterar a entidade de serviço utilizada para a ponte de recursos do Azure que você criou durante a implantação.

Para alterar a entidade de serviço de implantação, siga estas etapas:

  1. Entre em seu Microsoft Entra ID.

  2. Localize a entidade de serviço da ponte de recursos do Azure. O nome da entidade de serviço tem o formato ClusternameXX.arb.

  3. Crie um novo segredo de cliente para a entidade de serviço.

  4. Anote o appID para a entidade de serviço existente e o novo <client secret>.

  5. Entre em um de seus computadores do Azure Local utilizando as credenciais de usuário de implantação.

  6. Execute o seguinte comando do PowerShell:

    $SubscriptionId= "<Subscription ID>" 
$TenantId= "<Tenant ID>"
$AppId = "<Application ID>" 
$secretText= "<Client secret>" 
$NewPassword = ConvertTo-SecureString -String $secretText -AsPlainText -Force 
Set-AzureStackRPSpCredential -SubscriptionID $SubscriptionId -TenantID $TenantId -AppId $AppId -NewPassword $NewPassword

Próximas etapas

Conclua os pré-requisitos e a lista de verificação e instale oLocal do Azure.