Conectar máquinas a escala mediante directiva de grupo

  • Artículo

Puede incorporar máquinas Windows unidas a Active Directory a servidores habilitados para Azure Arc a escala con una directiva de grupo.

En primer lugar, deberá configurar un recurso compartido remoto local con el agente de Connected Machine y modificar un scrip que especifique la zona de aterrizaje del servidor habilitado para Arc en Azure. A continuación, ejecutará un script que genera un objeto de directiva de grupo (GPO) para incorporar un grupo de máquinas a servidores habilitados para Azure Arc. Este objeto de directiva de grupo se puede aplicar en el nivel de sitio, dominio o unidad organizativa. La asignación también puede usar Access Control List (ACL) y otros filtros de seguridad nativos para directiva de grupo. Las máquinas del ámbito de directiva de grupo se incorporarán a los servidores habilitados para Azure Arc. Establezca el ámbito del GPO para incluir solo las máquinas que quiere incorporar a Azure Arc.

Antes de comenzar, asegúrese de revisar los requisitos previos y compruebe que su suscripción y sus recursos los cumplen. Para obtener información sobre las regiones admitidas y otras consideraciones relacionadas, consulte Regiones de Azure admitidas. Revise también nuestra guía de planeamiento a gran escala para comprender los criterios de diseño e implementación, así como nuestras recomendaciones de administración y supervisión.

Si no tiene una suscripción a Azure, cree una cuenta gratuita antes de empezar.

Conexión automática para SQL Server

Al conectar un servidor Windows o Linux a Azure Arc que también tenga instalado Microsoft SQL Server, las instancias de SQL Server también se conectarán automáticamente a Azure Arc. SQL Server habilitado para Azure Arc proporciona un inventario detallado y funcionalidades de administración adicionales para las instancias y bases de datos de SQL Server. Como parte del proceso de conexión, se implementa una extensión en el servidor habilitado para Azure Arc y se aplicarán nuevos roles a las bases de datos y SQL Server. Si no desea conectar automáticamente los servidores SQL Server a Azure Arc, puede optar por agregar una etiqueta al servidor Windows o Linux con el nombre ArcSQLServerExtensionDeployment y el valor Disabled cuando esté conectado a Azure Arc.

Para más información, consulte Administración de la conexión automática para SQL Server habilitado por Azure Arc.

Preparación de un recurso compartido remoto y creación de una entidad de servicio

El objeto de directiva de grupo, que se utiliza para incorporar servidores habilitados para Azure Arc requiere un recurso compartido remoto con el agente de Connected Machine. Tendrá que:

  1. Preparar un recurso compartido remoto para hospedar el paquete del agente de Azure Connected Machine para Windows y el archivo de configuración. Agregar archivos a la ubicación distribuida. El recurso compartido de red debe proporcionar permisos de modificación tanto a los controladores de dominio como a los equipos de dominio y permisos de control total a los administradores de dominio.

  2. Siga los pasos para crear una entidad de servicio para la incorporación a gran escala.

    • Asigne el rol de incorporación de Azure Connected Machine a la entidad de servicio y limite el ámbito del rol a la zona de aterrizaje del Azure de destino.
    • Anote el secreto de la entidad de servicio, ya que necesitará este valor más adelante.

  3. Descargue y descomprima la carpeta ArcEnabledServersGroupPolicy_vX.X.X desde https://github.com/Azure/ArcEnabledServersGroupPolicy/releases/latest/. Esta carpeta contiene la estructura del proyecto ArcGPO con los scripts EnableAzureArc.ps1, DeployGPO.ps1 y AzureArcDeployment.psm1. Estos recursos se usarán para incorporar la máquina a servidores habilitados para Azure Arc.

  4. Descargar la versión más reciente del paquete de Windows Installer de Azure Connected Machine con el agente del centro de descarga de Microsoft y guardarlo en el recurso compartido remoto.

  5. Ejecute el script de implementación DeployGPO.ps1, modificando para ello los parámetros de ejecución de DomainFQDN, ReportServerFQDN, ArcRemoteShare, Secreto de la entidad de servicio, id. de cliente de la entidad de servicio, id. de suscripción, grupo de recursos, región, inquilino y AgentProxy (si procede):

    .\DeployGPO.ps1 -DomainFQDN contoso.com -ReportServerFQDN Server.contoso.com -ArcRemoteShare AzureArcOnBoard -ServicePrincipalSecret $ServicePrincipalSecret -ServicePrincipalClientId $ServicePrincipalClientId -SubscriptionId $SubscriptionId -ResourceGroup $ResourceGroup -Location $Location -TenantId $TenantId [-AgentProxy $AgentProxy]

Empleo del objeto de directiva de grupo

En la consola de administración de directiva de grupo (GPMC), haga clic con el botón derecho en la unidad organizativa deseada y vincule el GPO denominado [MSFT] Azure Arc Servers (datetime). Este es el objeto de directiva de grupo que tiene la tarea programada para incorporar las máquinas. Después de 10 o 20 minutos, el objeto de directiva de grupo se replicará en los controladores de dominio respectivos. Obtenga más información sobre cómo crear y administrar directivas de grupo en Microsoft Entra Domain Services.

Después de instalar el agente y configurarlo para que se conecte a los servidores habilitados para Azure Arc, vaya a Azure Portal para comprobar que los servidores de su unidad organizativa se han conectado correctamente. Vea las máquinas en Azure Portal.

Importante

Una vez que haya confirmado que los servidores se han incorporado correctamente a Arc, deshabilite el objeto de directiva de grupo. Esto impedirá que se ejecuten los mismos comandos de PowerShell en las tareas programadas cuando el sistema se reinicie o cuando se actualice la directiva de grupo.

Pasos siguientes