Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
S’applique à : Azure Local 2311.2 et les versions ultérieures
Cet article explique comment modifier le mot de passe associé à l’utilisateur du déploiement sur Azure Local.
Modifier le mot de passe utilisateur de déploiement
Utilisez l’applet de commande Set-AzureStackLCMUserPassword PowerShell pour réaliser la rotation des secrets d’informations d’identification de l’administrateurAzureStackLCMUserCredential de domaine. Cette applet de commande modifie le mot de passe de l’utilisateur qui se connecte aux hôtes du serveur.
Remarque
Lorsque vous exécutez Set-AzureStackLCMUserPassword, l’applet de commande met uniquement à jour ce qui a été modifié précédemment dans Active Directory.
Applet de commande et propriétés PowerShell
L’applet de commande Set-AzureStackLCMUserPassword accepte les paramètres suivants :
| Paramètre | Descriptif |
|---|---|
Identity |
Nom d’utilisateur de l’utilisateur dont vous souhaitez modifier le mot de passe. |
OldPassword |
Mot de passe actuel de l’utilisateur. |
NewPassword |
Le nouveau mot de passe de l’utilisateur. |
UpdateAD |
Paramètre facultatif utilisé pour définir un nouveau mot de passe dans Active Directory. |
Exécuter l’applet de commande Set-AzureStackLCMUserPassword
Définissez les paramètres, puis exécutez l’applet de commande Set-AzureStackLCMUserPassword pour modifier le mot de passe :
$old_pass = convertto-securestring "<Old password>" -asplaintext -force
$new_pass = convertto-securestring "<New password>" -asplaintext -force
Set-AzureStackLCMUserPassword -Identity mgmt -OldPassword $old_pass -NewPassword $new_pass -UpdateAD
Une fois le mot de passe modifié, la session se termine. Vous devez ensuite vous connecter avec le mot de passe mis à jour.
Voici un exemple de sortie lors de l’utilisation de Set-AzureStackLCMUserPassword :
PS C:\Users\MGMT> $old_pass = convertto-securestring "Passwordl23!" -asplaintext -force
PS C:\Users\MGMT> $new_pass = convertto-securestring "Passwordl23!1" -asplaintext -force
PS C:\Users\MGMT> Set-AzureStackLCMUserPassword -Identity mgmt -OldPassword $old_pass -NewPassword $new_pass -UpdateAD
WARNING: !WARNING!
The current session will be unresponsive once this command completes. You will have to login again with updated credentials. Do you want to continue?
Updating password in AD.
WARNING: Please close this session and log in again.
PS C:\Users\MGMT>
Modifier la clé de compte de stockage témoin de cluster
Cette section explique comment modifier la clé de compte de stockage du compte témoin de cluster.
Connectez-vous à l’un des nœuds locaux Azure à l’aide des informations d’identification de l’utilisateur de déploiement.
Configurez le quorum de témoin à l’aide de la clé de compte de stockage secondaire :
Set-ClusterQuorum -CloudWitness -AccountName <storage account name> -AccessKey <storage account secondary key>Faites pivoter la clé primaire du compte de stockage.
Configurez le quorum de témoin à l’aide de la clé de compte de stockage en rotation :
Set-ClusterQuorum -CloudWitness -AccountName <storage account name> -AccessKey <storage account primary key>Faire pivoter la clé secondaire du compte de stockage.
Mettez à jour la clé primaire du compte de stockage dans le magasin ECE :
$SecureSecretText = ConvertTo-SecureString -String "<Replace Storage account key>" -AsPlainText -Force $WitnessCred = New-Object -Type PSCredential -ArgumentList "WitnessCredential,$SecureSecretText" Set-ECEServiceSecret -ContainerName WitnessCredential -Credential $WitnessCred
Révoquer le jeton SAS pour le compte de stockage utilisé pour les images de machines virtuelles locales Azure
Cette section explique comment révoquer le jeton SAP (Shared Access Signature) pour le compte de stockage utilisé pour les images utilisées par les machines virtuelles locales Azure activées par Arc.
| Stratégie SAP | SAS a expiré ? | Étapes de révocation |
|---|---|---|
| N’importe quelle interface de ligne de commande (SAS) | Oui | Aucune action n’est requise, car la SAP n’est plus valide. |
| SAS ad hoc signée avec une clé de compte | Non | Faites pivoter ou régénérer manuellement la clé de compte de stockage utilisée pour créer une SAP. |
| SAS ad hoc signée avec une clé de délégation d’utilisateur | Non | Pour révoquer une clé de délégation d’utilisateur ou modifier les attributions de rôles, consultez Révoquer un SAS de délégation d'utilisateur. |
| SAP avec une stratégie d’accès stockée | Non | Pour mettre à jour l’heure d’expiration vers une date ou une heure passée, ou supprimer la stratégie d’accès stockée, consultez Modifier ou révoquer une stratégie d’accès stockée. |
Pour plus d’informations, consultez Révoquer un SAS.
Modifier le principal du service de déploiement
Cette section explique comment modifier le principal de service utilisé pour le déploiement.
Remarque
Ce scénario s’applique uniquement lorsque vous avez mis à niveau le logiciel Azure Local 2306 vers Azure Local version 23H2.
Pour modifier le principal de service de déploiement, procédez comme suit :
Connectez-vous à votre ID Microsoft Entra.
Recherchez le principal de service que vous avez utilisé lors du déploiement de l’instance Azure Local. Créez un nouveau secret client pour le principal de service.
Notez le
appIDdu principal de service existant et le nouveau<client secret>.Connectez-vous à l’une de vos machines Azure Local à l’aide des informations d’identification de l’utilisateur du déploiement.
Connectez-vous à Azure. Exécutez la commande PowerShell suivante :
Connect-AzAccountDéfinit le contexte de l’abonnement. Exécutez la commande PowerShell suivante :
Set-AzContext -Subscription <Subscription ID>Mettez à jour le nom du principal de service. Lancer les commandes PowerShell suivantes :
cd "C:\Program Files\WindowsPowerShell\Modules\Microsoft.AS.ArcIntegration" Import-Module Microsoft.AS.ArcIntegration.psm1 -Force $secretText=ConvertTo-SecureString -String <client secret> -AsPlainText -Force Update-ServicePrincipalName -AppId <appID> -SecureSecretText $secretText
Modifier le secret du principal de service ARB
Cette section explique comment modifier le principal de service utilisé pour le pont de ressources Azure que vous avez créé pendant le déploiement.
Pour modifier le principal de service de déploiement, procédez comme suit :
Connectez-vous à votre ID Microsoft Entra.
Recherchez le principal de service pour le pont de ressources Azure. Le nom du principal de service a le format ClusternameXX.arb.
Créez un nouveau secret client pour le principal de service.
Notez le
appIDdu principal de service existant et le nouveau<client secret>.Connectez-vous à l’une de vos machines Azure Local à l’aide des informations d’identification de l’utilisateur du déploiement.
Exécutez la commande PowerShell suivante :
$SubscriptionId= "<Subscription ID>" $TenantId= "<Tenant ID>" $AppId = "<Application ID>" $secretText= "<Client secret>" $NewPassword = ConvertTo-SecureString -String $secretText -AsPlainText -Force Set-AzureStackRPSpCredential -SubscriptionID $SubscriptionId -TenantID $TenantId -AppId $AppId -NewPassword $NewPassword
Effectuer une rotation des secrets internes
Cette section décrit comment faire pivoter des secrets internes. Les secrets internes incluent des certificats, des mots de passe, des chaînes sécurisées et des clés utilisées par l’infrastructure locale Azure. Une rotation de secret interne n’est requise que si vous soupçonnez que quelqu’un a été compromis, ou si vous avez reçu une alerte d’expiration.
Les étapes exactes de rotation des secrets sont différentes en fonction de la version logicielle exécutée par votre instance locale Azure.
Instance locale Azure exécutant la version 2411.2 et ultérieure
Connectez-vous à l’un des nœuds locaux Azure à l’aide des informations d’identification de l’utilisateur de déploiement.
Démarrez la rotation des secrets. Exécutez la commande PowerShell suivante :
Start-SecretRotation
Instance locale Azure exécutant 2411.1 à 2411.0
Connectez-vous à l’un des nœuds locaux Azure à l’aide des informations d’identification de l’utilisateur de déploiement.
Mettez à jour le mot de passe du certificat CA dans le magasin ECE. Exécutez la commande PowerShell suivante :
$SecureSecretText = ConvertTo-SecureString -String "<Replace with a strong password>" -AsPlainText -Force $CACertCred = New-Object -Type PSCredential -ArgumentList "CACertUser,$SecureSecretText" Set-ECEServiceSecret -ContainerName CACertificateCred -Credential $CACertCredDémarrez la rotation des secrets. Exécutez la commande PowerShell suivante :
Start-SecretRotation
Instance locale Azure exécutant 2408.2 ou version antérieure
Connectez-vous à l’un des nœuds locaux Azure à l’aide des informations d’identification de l’utilisateur de déploiement.
Mettez à jour le mot de passe du certificat CA dans le magasin ECE. Exécutez la commande PowerShell suivante :
$SecureSecretText = ConvertTo-SecureString -String "<Replace with a strong password>" -AsPlainText -Force $CACertCred = New-Object -Type PSCredential -ArgumentList (CACertificateCred),$SecureSecretText Set-ECEServiceSecret -ContainerName CACertificateCred -Credential $CACertCredSupprimez le certificat FCA de tous les nœuds de cluster et redémarrez le service FCA. Exécutez la commande suivante sur chaque nœud de votre instance Locale Azure :
$cert = Get-ChildItem -Recurse cert:\LocalMachine\My | Where-Object { $_.Subject -like "CN=FileCopyAgentKeyIdentifier*" } $cert | Remove-Item restart-service "AzureStack File Copy Agent*"Démarrez la rotation des secrets. Exécutez la commande PowerShell suivante :
Start-SecretRotation
Étapes suivantes
Remplissez les conditions préalables et la liste de contrôle et installez Azure Local.