Poznámka
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Platí pro: Azure Local 2311.2 a novější
Tento článek popisuje, jak můžete změnit heslo přidružené k uživateli nasazení v Místním prostředí Azure.
Změna hesla uživatele nasazení
K obměně tajných kódů přihlašovacích údajů správce domény použijte rutinu Set-AzureStackLCMUserPassword PowerShelluAzureStackLCMUserCredential . Tato rutina změní heslo uživatele, který se připojuje k hostitelům serveru.
Poznámka:
Při spuštění Set-AzureStackLCMUserPasswordrutina aktualizuje jenom to, co se dříve změnilo ve službě Active Directory.
Cmdlety a vlastnosti PowerShellu
Cmdlet Set-AzureStackLCMUserPassword přijímá následující parametry:
| Parametr | Popis |
|---|---|
Identity |
Uživatelské jméno uživatele, jehož heslo chcete změnit. |
OldPassword |
Aktuální heslo uživatele. |
NewPassword |
Nové heslo pro uživatele. |
UpdateAD |
Volitelný parametr použitý k nastavení nového hesla ve službě Active Directory |
Spuštění rutiny Set-AzureStackLCMUserPassword
Nastavte parametry a pak spuštěním rutiny Set-AzureStackLCMUserPassword změňte heslo:
$old_pass = convertto-securestring "<Old password>" -asplaintext -force
$new_pass = convertto-securestring "<New password>" -asplaintext -force
Set-AzureStackLCMUserPassword -Identity mgmt -OldPassword $old_pass -NewPassword $new_pass -UpdateAD
Po změně hesla relace skončí. Pak se musíte přihlásit pomocí aktualizovaného hesla.
Tady je ukázkový výstup při použití Set-AzureStackLCMUserPassword:
PS C:\Users\MGMT> $old_pass = convertto-securestring "Passwordl23!" -asplaintext -force
PS C:\Users\MGMT> $new_pass = convertto-securestring "Passwordl23!1" -asplaintext -force
PS C:\Users\MGMT> Set-AzureStackLCMUserPassword -Identity mgmt -OldPassword $old_pass -NewPassword $new_pass -UpdateAD
WARNING: !WARNING!
The current session will be unresponsive once this command completes. You will have to login again with updated credentials. Do you want to continue?
Updating password in AD.
WARNING: Please close this session and log in again.
PS C:\Users\MGMT>
Změnit klíč účtu úložiště svědka clusteru
Tato část popisuje, jak můžete změnit klíč účtu úložiště pro svědka clusteru.
Přihlaste se k jednomu z místních uzlů Azure pomocí přihlašovacích údajů uživatele nasazení.
Nakonfigurujte kvórum svědka pomocí klíče sekundárního účtu úložiště:
Set-ClusterQuorum -CloudWitness -AccountName <storage account name> -AccessKey <storage account secondary key>Otočte primární klíč účtu úložiště.
Nakonfigurujte kvorum svědků pomocí rotovaného klíče účtu úložiště.
Set-ClusterQuorum -CloudWitness -AccountName <storage account name> -AccessKey <storage account primary key>Obměňte sekundární klíč účtu úložiště.
Aktualizujte primární klíč účtu úložiště v úložišti ECE:
$SecureSecretText = ConvertTo-SecureString -String "<Replace Storage account key>" -AsPlainText -Force $WitnessCred = New-Object -Type PSCredential -ArgumentList "WitnessCredential,$SecureSecretText" Set-ECEServiceSecret -ContainerName WitnessCredential -Credential $WitnessCred
Odvolejte token SAS pro účet úložiště používaný pro lokální image virtuálních počítačů Azure
Tato část popisuje, jak můžete odvolat token sdíleného přístupového podpisu (SAS) pro účet úložiště používaný pro image používané místními virtuálními počítači Azure povolenými službou Arc.
| Zásady SAS | Platnost SAS vypršela? | Postup odvolání |
|---|---|---|
| Jakýkoli SAS | Ano | Nevyžaduje se žádná akce, protože SAS už není platný. |
| Ad hoc SAS podepsaný pomocí klíče účtu | Ne | Ručně otočit nebo regenerovat klíč účtu úložiště použitý k vytvoření SAS. |
| Ad hoc SAS podepsaný uživatelským delegačním klíčem | Ne | Pokud chcete odvolat klíč delegování uživatele nebo změnit přiřazení rolí, přečtěte si téma Odvolání SAS delegování uživatele. |
| SAS s uloženými zásadami přístupu | Ne | Pokud chcete aktualizovat čas vypršení platnosti na minulé datum nebo čas nebo odstranit uložené zásady přístupu, přečtěte si téma Změna nebo odvolání uložených zásad přístupu. |
Další informace najdete v tématu Odvolání sdíleného přístupového podpisu.
Změna principálu služby nasazení
Tato část popisuje, jak můžete změnit principál služby použitý k nasazení.
Poznámka:
Tento scénář platí jenom v případě, že jste upgradovali software Azure Local 2306 na Místní Azure verze 23H2.
Pokud chcete změnit služební principal pro nasazení, postupujte takto:
Přihlaste se ke svému ID Microsoft Entra.
Vyhledejte objekt správy služeb, který jste použili při nasazování místní instance Azure. Vytvořte nový tajný klíč klienta pro služební účet.
Zapište si
appIDk existující službě principal a nový<client secret>.Přihlaste se k jednomu z místních počítačů Azure pomocí přihlašovacích údajů uživatele nasazení.
Přihlaste se do Azure. Spusťte následující příkaz PowerShellu:
Connect-AzAccountNastavte kontext odběru. Spusťte následující příkaz PowerShellu:
Set-AzContext -Subscription <Subscription ID>Aktualizujte název účtu služby. Spusťte následující příkaz PowerShellu:
cd "C:\Program Files\WindowsPowerShell\Modules\Microsoft.AS.ArcIntegration" Import-Module Microsoft.AS.ArcIntegration.psm1 -Force $secretText=ConvertTo-SecureString -String <client secret> -AsPlainText -Force Update-ServicePrincipalName -AppId <appID> -SecureSecretText $secretText
Změna hesla principálu služby ARB
Tato část popisuje, jak můžete změnit technický identifikátor služby používaný pro resortní most Azure, který jste vytvořili během nasazení.
Pokud chcete změnit služebního principála nasazení, postupujte takto:
Přihlaste se ke svému ID Microsoft Entra.
Vyhledejte principál služby pro most prostředků Azure. Název služebního principu má formát ClusternameXX.arb.
Vytvořte nový tajný klíč klienta pro služební účet.
Zapište si
appIDk existující službě principal a nový<client secret>.Přihlaste se k jednomu z místních počítačů Azure pomocí přihlašovacích údajů uživatele nasazení.
Spusťte následující příkaz PowerShellu:
$SubscriptionId= "<Subscription ID>" $TenantId= "<Tenant ID>" $AppId = "<Application ID>" $secretText= "<Client secret>" $NewPassword = ConvertTo-SecureString -String $secretText -AsPlainText -Force Set-AzureStackRPSpCredential -SubscriptionID $SubscriptionId -TenantID $TenantId -AppId $AppId -NewPassword $NewPassword
Rotace interních tajemství
Tato část popisuje, jak můžete změnit interní tajemství. Mezi interní tajné kódy patří certifikáty, hesla, zabezpečené řetězce a klíče používané místní infrastrukturou Azure. Obměna interních tajných kódů je nutná jenom v případě, že máte podezření, že došlo k ohrožení zabezpečení některého z nich, nebo když dostanete upozornění na skončení platnosti.
Přesný postup obměně tajných kódů se liší v závislosti na verzi softwaru, na které je vaše místní instance Azure spuštěná.
Místní instance Azure s verzí 2411.2 a novější
Přihlaste se k jednomu z místních uzlů Azure pomocí přihlašovacích údajů uživatele nasazení.
Spusťte rotaci tajemství. Spusťte následující příkaz PowerShellu:
Start-SecretRotation
Místní instance Azure běžící na verzi 2411.1 až 2411.0
Přihlaste se k jednomu z místních uzlů Azure pomocí přihlašovacích údajů uživatele nasazení.
Aktualizujte heslo certifikátu certifikační autority v úložišti ECE. Spusťte následující příkaz PowerShellu:
$SecureSecretText = ConvertTo-SecureString -String "<Replace with a strong password>" -AsPlainText -Force $CACertCred = New-Object -Type PSCredential -ArgumentList "CACertUser,$SecureSecretText" Set-ECEServiceSecret -ContainerName CACertificateCred -Credential $CACertCredSpusťte rotaci tajemství. Spusťte následující příkaz PowerShellu:
Start-SecretRotation
Místní instance Azure běžící na verzi 2408.2 nebo starší
Přihlaste se k jednomu z místních uzlů Azure pomocí přihlašovacích údajů uživatele nasazení.
Aktualizujte heslo certifikátu certifikační autority v úložišti ECE. Spusťte následující příkaz PowerShellu:
$SecureSecretText = ConvertTo-SecureString -String "<Replace with a strong password>" -AsPlainText -Force $CACertCred = New-Object -Type PSCredential -ArgumentList (CACertificateCred),$SecureSecretText Set-ECEServiceSecret -ContainerName CACertificateCred -Credential $CACertCredOdstraňte certifikát FCA ze všech uzlů clusteru a restartujte službu FCA. Na každém uzlu místní instance Azure spusťte následující příkaz:
$cert = Get-ChildItem -Recurse cert:\LocalMachine\My | Where-Object { $_.Subject -like "CN=FileCopyAgentKeyIdentifier*" } $cert | Remove-Item restart-service "AzureStack File Copy Agent*"Spusťte rotaci tajemství. Spusťte následující příkaz PowerShellu:
Start-SecretRotation
Další kroky
Dokončete požadavky a kontrolní seznam a nainstalujte Azure Local.