Подключение компьютеров в большом масштабе с помощью групповой политики

Вы можете подключить компьютеры с Windows, присоединенные к Windows, к серверам с поддержкой Azure Arc в масштабе с помощью групповой политики.

Сначала необходимо настроить локальную удаленную общую папку с агентом подключенного компьютера и изменить сценарий, указывающий целевую зону сервера с поддержкой Arc в Azure. Затем вы запустите скрипт, создающий объект групповой политики (GPO), чтобы подключить группу компьютеров к серверам с поддержкой Azure Arc. Этот объект групповой политики можно применить к сайту, домену или уровню организации. Назначение также может использовать список контроль доступа (ACL) и другие фильтры безопасности, собственные для групповой политики. Компьютеры в области групповой политики будут подключены к серверам с поддержкой Azure Arc. Настройте область групповой политики, чтобы включить только компьютеры, которые требуется подключить к Azure Arc.

Прежде чем приступить к работе, ознакомьтесь с данными о необходимых компонентах и убедитесь, что подписка и ресурсы соответствуют требованиям. Сведения о поддерживаемых регионах и других связанных вопросах см. в статье Поддерживаемые регионы Azure. Кроме того, ознакомьтесь с нашим руководством по планированию для больших масштабов, чтобы понять критерии проектирования и развертывания, а также ознакомиться с рекомендациями по управлению и мониторингу.

Если у вас нет подписки Azure, создайте бесплатную учетную запись, прежде чем приступить к работе.

Автоматическое подключение для SQL Server

При подключении к Azure Arc сервера на Windows или Linux с установленным Microsoft SQL Server экземпляры SQL Server также будут автоматически подключены к Azure Arc. SQL Server с поддержкой Azure Arc предоставляет возможности ведения подробного учета, а также дополнительные возможности управления для экземпляров SQL Server и баз данных. В процессе подключения на сервере с поддержкой Azure Arc развертывается расширение, а к SQL Server и базам данных будут применены новые роли. Если вы не хотите автоматически подключать серверы SQL Server к Azure Arc, можно отказаться, добавив тег на сервер Windows или Linux с именем ArcSQLServerExtensionDeployment и значением Disabled при подключении к Azure Arc.

Дополнительные сведения см. в разделе Управление автоматическим подключением для SQL Server с поддержкой Azure Arc.

Подготовка удаленной общей папки и создание субъекта-службы

Объект групповой политики, используемый для подключения серверов с поддержкой Azure Arc, требует удаленного ресурса с агентом подключенного компьютера. Вам потребуется:

1. Подготовьте удаленный ресурс для размещения пакета агента подключенного компьютера Azure для Windows и файла конфигурации. Необходимо иметь возможность добавлять файлы в распределенное расположение. Сетевая папка должна предоставлять контроллеры домена и компьютеры домена с разрешениями на изменение и администраторы домена с разрешениями полного управления.

2. Выполните действия, чтобы создать субъект-службу для подключения в масштабе.

   • Назначьте роль подключения подключенного компьютера Azure субъекту-службе и ограничьте область роли целевой целевой зоной Azure.
   • Запишите секрет субъекта-службы; Это значение потребуется позже.

3. Скачайте и распакуйте папку ArcEnabledServersGroupPolicy_vX.X.Xhttps://github.com/Azure/ArcEnabledServersGroupPolicy/releases/latest/. Эта папка содержит структуру проекта ArcGPO со скриптами EnableAzureArc.ps1DeployGPO.ps1и AzureArcDeployment.psm1. Эти ресурсы будут использоваться для подключения компьютера к серверам с поддержкой Azure Arc.

4. Скачайте последнюю версию пакета установщика Windows агента подключенной машины Azure из Центра загрузки Майкрософт и сохраните его в удаленном ресурсе.

5. Выполните скрипт DeployGPO.ps1развертывания, изменив параметры выполнения для domainFQDN, ReportServerFQDN, ArcRemoteShare, секрет субъекта-службы, идентификатор клиента службы, идентификатор подписки, группу ресурсов, регион, клиент и AgentProxy (если применимо):

   .\DeployGPO.ps1 -DomainFQDN contoso.com -ReportServerFQDN Server.contoso.com -ArcRemoteShare AzureArcOnBoard -ServicePrincipalSecret $ServicePrincipalSecret -ServicePrincipalClientId $ServicePrincipalClientId -SubscriptionId $SubscriptionId -ResourceGroup $ResourceGroup -Location $Location -TenantId $TenantId [-AgentProxy $AgentProxy]
   

Применение объекта групповой политики

В консоли управления групповыми политиками (GPMC) щелкните правой кнопкой мыши нужный организационный блок и свяжите объект групповой политики с именем [MSFT] Серверы Azure Arc (datetime). Это объект групповой политики, имеющий запланированную задачу для подключения компьютеров. Через 10 или 20 минут объект групповой политики будет реплицирован на соответствующие контроллеры домена. Узнайте больше о создании групповой политики и управлении ими в доменных службах Microsoft Entra.

После успешной установки агента и его настройки для подключения к серверам с поддержкой Azure Arc перейдите к портал Azure, чтобы убедиться, что серверы в подразделении успешно подключены. Просмотрите свои компьютеры на портале Azure.

Внимание

Убедившись, что серверы успешно подключены к Arc, отключите объект групповой политики. Это позволит предотвратить выполнение одной и той же команды PowerShell в запланированных задачах при перезагрузке системы или при обновлении групповой политики.

Следующие шаги

• Ознакомьтесь с руководством по планированию и развертыванию, чтобы спланировать развертывание серверов с поддержкой Azure Arc в любом масштабе и реализацию централизованного управления и мониторинга.
• Просмотрите сведения об устранении неполадок подключения в руководстве по устранению неполадок агента подключенного компьютера.
• Узнайте, как управлять компьютером с помощью Политика Azure для таких вещей, как гостевая конфигурация виртуальной машины, проверка того, что компьютер сообщает ожидаемой рабочей области Log Analytics, обеспечивая мониторинг с помощью аналитики виртуальных машин и многое другое.
• Дополнительные сведения о групповой политике.