Teilen über

Verbinden von Computern im großen Stil per Gruppenrichtlinie

  • Artikel

Mit Active Directory verknüpfte Windows-Computer können per Gruppenrichtlinie im großen Stil in Server mit Azure Arc-Unterstützung integriert werden.

Sie müssen zunächst eine lokale Remotefreigabe mit dem Connected Machine-Agent einrichten und ein Skript ändern, das die Zielzone des Servers mit Azure Arc-Unterstützung in Azure angibt. Anschließend führen Sie ein Skript aus, das ein Gruppenrichtlinienobjekt (GPO) generiert, um eine Gruppe von Computern in Azure Arc-fähige Server zu integrieren. Dieses Gruppenrichtlinienobjekt kann auf Website-, Domänen- oder Organisationseinheitsebene angewendet werden. Von der Zuweisung können auch Zugriffssteuerungslisten (Access Control Lists, ACLs) und andere native Sicherheitsfilterungen von Gruppenrichtlinien verwendet werden. Computer im Geltungsbereich der Gruppenrichtlinie werden in Server mit Azure Arc-Unterstützung integriert. Richten Sie Ihr GPO so ein, dass nur Computer einbezogen werden, die Sie in Azure Arc integrieren möchten.

Bevor Sie beginnen, sollten Sie die Voraussetzungen überprüfen und sicherstellen, dass Ihr Abonnement und Ihre Ressourcen auch diese Anforderungen erfüllen. Informationen zu unterstützten Regionen und andere Überlegungen finden Sie unter Unterstützte Azure-Regionen. Machen Sie sich anhand unseres Leitfadens unter Planen und Bereitstellen von Servern mit Arc-Unterstützung auch mit den Entwurfs- und Bereitstellungskriterien sowie mit unseren Verwaltungs- und Überwachungsempfehlungen vertraut.

Wenn Sie kein Azure-Abonnement besitzen, können Sie ein kostenloses Konto erstellen, bevor Sie beginnen.

Automatische Verbindung für SQL Server

Wenn Sie einen Windows- oder Linux-Server, auf dem auch Microsoft SQL Server installiert ist, mit Azure Arc verbinden, werden die SQL Server-Instanzen automatisch auch mit Azure Arc verbunden. SQL Server mit Azure Arc-Unterstützung bietet eine detaillierte Inventur und zusätzliche Verwaltungsfunktionen für Ihre SQL Server-Instanzen und -Datenbanken. Im Rahmen des Verbindungsprozesses wird eine Erweiterung auf Ihrem Server mit Azure Arc-Unterstützung bereitgestellt, und neue Rollen werden auf SQL Server und Datenbanken angewendet. Wenn Sie Ihre SQL Server-Instanzen nicht automatisch mit Azure Arc verbinden möchten, können Sie diese Option deaktivieren, indem Sie dem Windows- oder Linux-Server ein Tag mit dem Namen ArcSQLServerExtensionDeployment und dem Wert Disabled hinzufügen, wenn er mit Azure Arc verbunden ist.

Weitere Informationen finden Sie unter Verwalten der automatischem Verbindung von SQL Server mit Azure Arc-Unterstützung.

Vorbereiten einer Remotefreigabe und Erstellen eines Dienstprinzipals

Das Gruppenrichtlinienobjekt, das zum Integrieren in Azure Arc-fähige Server verwendet wird, erfordert eine Remotefreigabe mit dem Connected Machine-Agent. Folgendes ist erforderlich:

  1. Bereiten Sie eine Remotefreigabe vor, um das Azure Connected Machine-Agent-Paket für Windows und die Konfigurationsdatei zu hosten. Sie müssen dem verteilten Speicherort Dateien hinzufügen können. Die Netzwerkfreigabe sollte Domänencontrollern und Domänencomputern Änderungsberechtigungen und Domänenadministratoren mit Vollzugriffsberechtigungen bereitstellen.

  2. Befolgen Sie die Schritte zum Erstellen eines Dienstprinzipals für Onboarding im großen Stil.

    • Weisen Sie Ihrem Dienstprinzipal die Rolle „Onboarding von Azure Connected Machine“ zu, und beschränken Sie den Geltungsbereich der Rolle auf die Azure-Zielzone.
    • Notieren Sie sich das Dienstprinzipalgeheimnis für später.

  3. Laden Sie den Ordner ArcEnabledServersGroupPolicy_vX.X.X von https://github.com/Azure/ArcEnabledServersGroupPolicy/releases/latest/ herunter, und entzippen Sie ihn. Dieser Ordner enthält die ArcGPO-Projektstruktur mit den Skripts EnableAzureArc.ps1, DeployGPO.ps1 und AzureArcDeployment.psm1. Diese Ressourcen werden zum Onboarding des Computers auf Servern mit Azure Arc-Unterstützung verwendet.

  4. Laden Sie die neueste Version des Windows Installer-Pakets für den Azure Connected Machine-Agent aus dem Microsoft Download Center herunter, und speichern Sie sie in der Remotefreigabe.

  5. Führen Sie das Bereitstellungsskript DeployGPO.ps1 aus. Ändern Sie darin die Ausführungsparameter für DomainFQDN, ReportServerFQDN, ArcRemoteShare, Dienstprinzipalgeheimnis, Client-ID des Dienstprinzipals, Abonnement-ID, Ressourcengruppe, Region, Mandant und AgentProxy (sofern zutreffend):

    .\DeployGPO.ps1 -DomainFQDN contoso.com -ReportServerFQDN Server.contoso.com -ArcRemoteShare AzureArcOnBoard -ServicePrincipalSecret $ServicePrincipalSecret -ServicePrincipalClientId $ServicePrincipalClientId -SubscriptionId $SubscriptionId -ResourceGroup $ResourceGroup -Location $Location -TenantId $TenantId [-AgentProxy $AgentProxy]

Anwenden des Gruppenrichtlinienobjekts

Klicken Sie auf der Gruppenrichtlinien-Verwaltungskonsole (GPMC) mit der rechten Maustaste auf die gewünschte Organisationseinheit, und verknüpfen Sie das GPO mit dem Namen [MSFT] Azure Arc Server (Datetime). Dies ist das Gruppenrichtlinienobjekt, das über die geplante Aufgabe zum Integrieren der Computer verfügt. Nach zehn bis 20 Minuten wird das Gruppenrichtlinienobjekt in den jeweiligen Domänencontrollern repliziert. Erhalten Sie weitere Informationen zum Erstellen und Verwalten von Gruppenrichtlinien in Microsoft Entra-Domain Services.

Nachdem Sie den Agent erfolgreich installiert und zum Herstellen einer Verbindung mit Azure Arc-fähigen Servern konfiguriert haben, können Sie sich im Azure-Portal vergewissern, dass die Server in Ihren Organisationseinheiten verbunden sind. Zeigen Sie Ihre Computer im Azure-Portal an.

Wichtig

Nachdem Sie bestätigt haben, dass Ihre Server erfolgreich in Arc integriert wurden, deaktivieren Sie das Gruppenrichtlinienobjekt. Dadurch wird verhindert, dass dieselben PowerShell-Befehle in den geplanten Aufgaben ausgeführt werden, wenn das System neu gestartet oder die Gruppenrichtlinie aktualisiert wird.

Nächste Schritte