Проверка удостоверения Azure
Используйте средство проверки готовности Azure Stack Hub (AzsReadinessChecker) для проверки готовности идентификатора Microsoft Entra к использованию с Azure Stack Hub. Прежде чем развертывать Azure Stack Hub, проверьте решение для работы с удостоверениями Azure.
Средство проверки готовности позволяет определить:
- Идентификатор Microsoft Entra в качестве поставщика удостоверений для Azure Stack Hub.
- Учетная запись Microsoft Entra, которую вы планируете использовать, может войти в систему в качестве администратора приложения идентификатора Microsoft Entra.
Проверка гарантирует, что среда готова к использованию Azure Stack Hub для хранения сведений о пользователях, приложениях, группах и субъектах-службах из Azure Stack Hub в идентификаторе Microsoft Entra.
Получение средства проверки готовности
Скачайте последнюю версию средства проверки готовности Azure Stack Hub (AzsReadinessChecker) из коллекции PowerShell.
Установка и настройка
Необходимые компоненты
Ниже перечислены необходимые компоненты.
Модули Az PowerShell
На компьютере должны быть установлены модули Az PowerShell. Инструкции см. в разделе "Установка модуля PowerShell Az preview".
Среда Microsoft Entra
- Определите учетную запись Microsoft Entra, используемую для Azure Stack Hub, и убедитесь, что это администратор приложения Microsoft Entra.
- Определите имя клиента Microsoft Entra. Имя клиента должно быть основным доменным именем для идентификатора Microsoft Entra. Например, contoso.onmicrosoft.com.
Действия по проверке удостоверения Azure
На компьютере, который соответствует всем предварительным требованиям, откройте командную строку PowerShell с повышенными привилегиями и выполните следующую команду, чтобы установить AzsReadinessChecker:
Install-Module -Name Az.BootStrapper -Force -AllowPrerelease Install-AzProfile -Profile 2020-09-01-hybrid -Force Install-Module -Name Microsoft.AzureStack.ReadinessChecker -AllowPrerelease
В командной строке PowerShell выполните приведенную ниже команду. Замените
contoso.onmicrosoft.com
имя клиента Microsoft Entra:Connect-AzAccount -tenant contoso.onmicrosoft.com
В командной строке PowerShell выполните следующую команду, чтобы начать проверку идентификатора Microsoft Entra. Замените
contoso.onmicrosoft.com
имя клиента Microsoft Entra:Invoke-AzsAzureIdentityValidation -AADDirectoryTenantName contoso.onmicrosoft.com
Когда средство завершит работу, просмотрите выходные данные. Убедитесь, что система соответствует требованиям для установки (OK). При успешном завершении проверки отобразится следующий результат:
Invoke-AzsAzureIdentityValidation v1.2100.1448.484 started. Starting Azure Identity Validation Checking Installation Requirements: OK Finished Azure Identity Validation Log location (contains PII): C:\Users\[*redacted*]\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessChecker.log Report location (contains PII): C:\Users\[*redacted*]\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessCheckerReport.json Invoke-AzsAzureIdentityValidation Completed
Файлы отчета и журнала
При каждом запуске проверки все результаты сохраняются в файлах AzsReadinessChecker.log и AzsReadinessCheckerReport.json. Расположение этих файлов указывается в PowerShell вместе с результатами проверки.
Эти файлы помогут передать сведения о состоянии проверки другим заинтересованным лицам перед развертыванием Azure Stack Hub или для исследования проблем, обнаруженных при проверке. В обоих файлах сохраняются результаты каждой очередной проверки. В отчете содержатся подтверждения команды развертывания по конфигурации удостоверений. Файл журнала поможет командам развертывания или поддержки диагностировать проблемы с проверкой.
По умолчанию оба файла записываются в C:\Users\<username>\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessCheckerReport.json
.
- Используйте параметр
-OutputPath <path>
в конце командной строки, чтобы задать другое расположение для отчетов. - Используйте параметр
-CleanReport
в конце команды, чтобы удалить из файла AzsReadinessCheckerReport.json сведения о предыдущих запусках средства.
Дополнительные сведения об отчетах проверки Azure Stack Hub можно найти здесь.
Ошибки при проверке
Если проверка завершается ошибкой, сведения о сбое отображаются в окне PowerShell. Кроме того, сведения записываются в файл AzsReadinessChecker.log.
В следующих примерах приведены некоторые рекомендации по устранению распространенных ошибок проверки.
Пароль с истекшим сроком действия или временный пароль
Invoke-AzsAzureIdentityValidation v1.1809.1005.1 started.
Starting Azure Identity Validation
Checking Installation Requirements: Fail
Error Details for Service Administrator Account admin@contoso.onmicrosoft.com
The password for account has expired or is a temporary password that needs to be reset before continuing. Run Login-AzureRMAccount, login with credentials and follow the prompts to reset.
Additional help URL https://aka.ms/AzsRemediateAzureIdentity
Finished Azure Identity Validation
Log location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessChecker.log
Report location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessCheckerReport.json
Invoke-AzsAzureIdentityValidation Completed
Причина. Вход с помощью этой учетной записи невозможен, так как истек срок действия пароля или используется временный пароль.
Решение. Выполните в PowerShell следующую команду и следуйте инструкциям на экране, чтобы сбросить пароль.
Login-AzureRMAccount
Также вы можете войти на портал Azure как владелец учетной записи. В таком случае пользователь должен будет сменить пароль.
Неизвестный тип пользователя
Invoke-AzsAzureIdentityValidation v1.1809.1005.1 started.
Starting Azure Identity Validation
Checking Installation Requirements: Fail
Error Details for Service Administrator Account admin@contoso.onmicrosoft.com
Unknown user type detected. Check the account is valid for AzureChinaCloud
Additional help URL https://aka.ms/AzsRemediateAzureIdentity
Finished Azure Identity Validation
Log location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessChecker.log
Report location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessCheckerReport.json
Invoke-AzsAzureIdentityValidation Completed
Причина . Учетная запись не может войти в указанный идентификатор Microsoft Entra (AADDirectoryTenantName). В нашем примере параметр AzureChinaCloud имеет значение AzureEnvironment.
Решение. Убедитесь, что эта учетная запись существует в указанной среде Azure. Выполните в PowerShell следующую команду, чтобы проверить допустимость учетной записи для указанной среды:
Login-AzureRmAccount -EnvironmentName AzureChinaCloud
Next Steps
Проверка регистрации в Azure
Просмотр отчета о готовности
Планирование интеграции центра обработки данных для интегрированных систем Azure Stack Hub