Поделиться через

Поворот секретов в Azure Local

  • Статья

Область применения: Azure Local 2311.2 и более поздних версий

В этой статье описывается, как изменить пароль, связанный с пользователем развертывания в локальной среде Azure.

Изменение пароля пользователя развертывания

Используйте командлет Set-AzureStackLCMUserPassword PowerShell для сменыAzureStackLCMUserCredential секретов учетных данных администратора домена. Этот командлет изменяет пароль пользователя, который подключается к узлам сервера.

Примечание.

При запуске Set-AzureStackLCMUserPasswordкомандлет обновляет только то, что ранее было изменено в Active Directory.

Командлет и свойства PowerShell

Командлет Set-AzureStackLCMUserPassword принимает следующие параметры:

Параметр Описание
Identity Имя пользователя, пароль которого требуется изменить.
OldPassword Текущий пароль пользователя.
NewPassword Новый пароль для пользователя.
UpdateAD Необязательный параметр, используемый для задания нового пароля в Active Directory.

Выполнение командлета Set-AzureStackLCMUserPassword

Задайте параметры и запустите Set-AzureStackLCMUserPassword командлет, чтобы изменить пароль:

$old_pass = convertto-securestring "<Old password>" -asplaintext -force
$new_pass = convertto-securestring "<New password>" -asplaintext -force

Set-AzureStackLCMUserPassword -Identity mgmt -OldPassword $old_pass -NewPassword $new_pass -UpdateAD

После изменения пароля сеанс завершится. Затем необходимо войти с помощью обновленного пароля.

Ниже приведен пример выходных данных при использовании Set-AzureStackLCMUserPassword:

PS C:\Users\MGMT> $old_pass = convertto-securestring "Passwordl23!" -asplaintext -force 
PS C:\Users\MGMT> $new_pass = convertto-securestring "Passwordl23!1" -asplaintext -force
PS C:\Users\MGMT> Set-AzureStackLCMUserPassword -Identity mgmt -OldPassword $old_pass -NewPassword $new_pass -UpdateAD 
WARNING: !WARNING!
The current session will be unresponsive once this command completes. You will have to login again with updated credentials. Do you want to continue?
Updating password in AD.
WARNING: Please close this session and log in again.
PS C:\Users\MGMT>

Изменение ключа учетной записи хранения кластера-свидетеля

В этом разделе описывается, как изменить ключ учетной записи хранения для учетной записи хранения кластера-свидетеля.

  1. Войдите на один из локальных узлов Azure с помощью учетных данных пользователя развертывания.

  2. Настройте кворум свидетеля с помощью ключа вторичной учетной записи хранения.

    Set-ClusterQuorum -CloudWitness -AccountName <storage account name> -AccessKey <storage account secondary key>

  3. Смена первичного ключа учетной записи хранения.

  4. Настройте кворум свидетеля с помощью ключа обновленной учетной записи хранения.

    Set-ClusterQuorum -CloudWitness -AccountName <storage account name> -AccessKey <storage account primary key>

  5. Повернуть вторичный ключ учетной записи хранения.

  6. Обновите первичный ключ учетной записи хранения в хранилище ECE:

    $SecureSecretText = ConvertTo-SecureString -String "<Replace Storage account key>" -AsPlainText -Force
$WitnessCred = New-Object -Type PSCredential -ArgumentList "WitnessCredential,$SecureSecretText"
Set-ECEServiceSecret -ContainerName WitnessCredential -Credential $WitnessCred

Отмена маркера SAS для учетной записи хранения, используемой для образов виртуальных машин Arc

В этом разделе описывается, как отозвать токен (SAS) с общей подписью доступа для учетной записи хранения, которая используется для образов виртуальных машин Arc.

Политика SAS Истек срок действия SAS? Действия по отмене
Любой SAS Да Действие не требуется, так как SAS больше не является действительным.
Нерегламентированный SAS, подписанный ключом учетной записи Нет вручную повернуть или повторно создать ключ учетной записи хранения, используемый для создания SAS.
Нерегламентированный SAS, подписанный ключом делегирования пользователей Нет Чтобы отозвать ключ делегирования пользователя SAS или изменить назначения ролей, см. Отмена ключа делегирования пользователя SAS.
SAS с хранимой политикой доступа Нет Сведения об обновлении срока действия до последней даты или времени или удаления хранимой политики доступа см. в статье Изменение или отмена хранимой политики доступа.

Дополнительные сведения см. в статье ОтменаSAS.

Изменение субъекта-службы развертывания

В этом разделе описывается, как изменить субъект-службу, используемый для развертывания.

Примечание.

Этот сценарий применяется только при обновлении программного обеспечения Azure Local 2306 до Локальной версии 23H2.

Выполните следующие действия, чтобы изменить субъект-службу развертывания:

  1. Войдите в идентификатор Microsoft Entra.

  2. Найдите субъект-службу, используемый при развертывании локального экземпляра Azure. Создайте новый секрет клиента для субъекта-службы.

  3. Запишите appID существующий субъект-службу и новый <client secret>.

  4. Войдите на один из локальных компьютеров Azure с помощью учетных данных пользователя развертывания.

  5. войдите в Azure. Выполните следующую команду PowerShell:

    Connect-AzAccount

  6. Настройка контекста подписки. Выполните следующую команду PowerShell:

    Set-AzContext -Subscription <Subscription ID>

  7. Обновите имя субъекта-службы. Выполните следующие команды PowerShell:

    cd "C:\Program Files\WindowsPowerShell\Modules\Microsoft.AS.ArcIntegration"
Import-Module Microsoft.AS.ArcIntegration.psm1 -Force
$secretText=ConvertTo-SecureString -String <client secret> -AsPlainText -Force
Update-ServicePrincipalName -AppId <appID> -SecureSecretText $secretText

Изменение секрета субъекта-службы ARB

В этом разделе описывается, как изменить субъект-службу, используемый для моста ресурсов Azure, созданного во время развертывания.

Чтобы изменить субъект-службу развертывания, выполните следующие действия.

  1. Войдите в свой идентификатор Microsoft Entra.

  2. Найдите субъект-службу для моста ресурсов Azure. Имя субъекта-службы имеет формат ClusternameXX.arb.

  3. Создайте новый секрет клиента для субъекта-службы.

  4. Запишите appID существующий субъект-службу и новый <client secret>.

  5. Войдите на один из локальных компьютеров Azure с помощью учетных данных пользователя развертывания.

  6. Выполните следующую команду PowerShell:

    $SubscriptionId= "<Subscription ID>" 
$TenantId= "<Tenant ID>"
$AppId = "<Application ID>" 
$secretText= "<Client secret>" 
$NewPassword = ConvertTo-SecureString -String $secretText -AsPlainText -Force 
Set-AzureStackRPSpCredential -SubscriptionID $SubscriptionId -TenantID $TenantId -AppId $AppId -NewPassword $NewPassword

Следующие шаги

Пройдите предварительные требования, выполните контрольный список и установите локальную версию Azure.