그룹 정책을 사용하여 대규모로 컴퓨터 연결

그룹 정책을 사용하여 Active Directory 조인 Windows 컴퓨터를 Azure Arc 지원 서버에 대규모로 온보딩할 수 있습니다.

먼저 Connected Machine 에이전트를 사용하여 로컬 원격 공유를 설정하고 Azure 내에서 Arc 지원 서버의 랜딩 존을 지정하는 스크립트를 수정해야 합니다. 그런 다음, GPO(그룹 정책 개체)를 생성하는 스크립트를 실행하여 머신 그룹을 Azure Arc 지원 서버에 온보딩합니다. 이 그룹 정책 개체는 사이트, 도메인 또는 조직 수준에서 적용될 수 있습니다. 또한 할당은 ACL(액세스 제어 목록) 및 그룹 정책 고유의 기타 보안 필터링을 사용할 수 있습니다. 그룹 정책 범위의 컴퓨터는 Azure Arc 지원 서버에 온보딩됩니다. Azure Arc에 온보딩하려는 머신만 포함하도록 GPO 범위를 지정합니다.

시작하려면 먼저 사전 요구 사항을 검토하고 구독 및 리소스에서 요구 사항을 충족하는지 확인해야 합니다. 지원되는 지역 및 기타 관련 고려 사항에 대한 자세한 내용은 Azure 지원 지역을 참조하세요. 또한 확장 계획 지침을 검토하여 설계 및 배포 기준뿐만 아니라 관리 및 모니터링 권장 사항을 파악합니다.

Azure 구독이 없는 경우 시작하기 전에 체험 계정을 만듭니다.

SQL Server에 대한 자동 연결

Microsoft SQL Server가 설치된 Azure Arc에 Windows 또는 Linux 서버를 연결하면 SQL Server 인스턴스도 자동으로 Azure Arc에 연결됩니다. Azure Arc를 통해 지원되는 SQL Server는 SQL Server 인스턴스 및 데이터베이스에 대한 상세 인벤토리와 추가 관리 기능을 제공합니다. 연결 프로세스의 일부로 확장이 Azure Arc 지원 서버에 배포되고 새 역할이 SQL Server 및 데이터베이스에 적용됩니다. SQL Server를 Azure Arc에 자동으로 연결하지 않으려면 Azure Arc에 연결될 때 이름이 ArcSQLServerExtensionDeployment이고 값이 Disabled인 Windows 또는 Linux 서버에 태그를 추가하여 옵트아웃할 수 있습니다.

자세한 내용은 Azure Arc를 통해 지원되는 SQL Server의 자동 연결 관리를 참조하세요.

원격 공유 준비 및 서비스 주체 만들기

Azure Arc 지원 서버를 온보딩하는 데 사용되는 그룹 정책 개체에는 Connected Machine 에이전트와의 원격 공유가 필요합니다. 다음을 수행해야 합니다.

1. Windows용 Azure Connected Machine 에이전트 패키지 및 구성 파일을 호스트할 원격 공유를 준비합니다. 파일을 배포 위치에 추가할 수 있어야 합니다. 네트워크 공유는 변경 권한이 있는 도메인 컨트롤러 및 도메인 컴퓨터와 모든 권한이 있는 도메인 관리자를 제공해야 합니다.

2. 단계에 따라 대규모 온보딩을 위한 서비스 주체 만들기

   • Azure Connected Machine 온보딩 역할을 서비스 주체에 할당하고, 역할 범위를 대상 Azure 랜딩 존으로 제한합니다.
   • 서비스 주체 비밀을 적어 둡니다. 나중에 이 값이 필요합니다.

3. https://github.com/Azure/ArcEnabledServersGroupPolicy/releases/latest/에서 ArcEnabledServersGroupPolicy_vX.X.X 폴더를 다운로드하여 압축을 풉니다. 이 폴더에는 EnableAzureArc.ps1, DeployGPO.ps1 및 AzureArcDeployment.psm1 스크립트가 있는 ArcGPO 프로젝트 구조가 포함되어 있습니다. 이러한 자산은 Azure Arc 지원 서버에 머신을 온보딩하는 데 사용됩니다.

4. Microsoft 다운로드 센터에서 최신 버전의 Azure Connected Machine Agent Windows Installer 패키지를 다운로드하고 원격 공유에 저장합니다.

5. DomainFQDN, ReportServerFQDN, ArcRemoteShare, 서비스 주체 비밀, 서비스 주체 클라이언트 ID, 구독 ID, 리소스 그룹, 지역, 테넌트, AgentProxy에 대한 실행 매개 변수를 수정하여 배포 스크립트 DeployGPO.ps1을 실행합니다(해당하는 경우).

   .\DeployGPO.ps1 -DomainFQDN contoso.com -ReportServerFQDN Server.contoso.com -ArcRemoteShare AzureArcOnBoard -ServicePrincipalSecret $ServicePrincipalSecret -ServicePrincipalClientId $ServicePrincipalClientId -SubscriptionId $SubscriptionId -ResourceGroup $ResourceGroup -Location $Location -TenantId $TenantId [-AgentProxy $AgentProxy]
   

그룹 정책 개체 적용

GPMC(그룹 정책 관리 콘솔)에서 원하는 조직 구성 단위를 마우스 오른쪽 단추로 클릭하고 [MSFT] Azure Arc Servers(날짜/시간)라는 GPO를 연결합니다. 이는 머신을 온보딩할 예약된 작업이 있는 그룹 정책 개체입니다. 10분 또는 20분 후에 그룹 정책 개체가 해당 도메인 컨트롤러에 복제됩니다. Microsoft Entra Domain Services에서 그룹 정책을 만들고 관리하는 방법에 대해 자세히 알아보세요.

에이전트가 성공적으로 설치되고 Azure Arc 지원 서버에 연결하도록 구성되면 Azure Portal로 이동하여 조직 구성 단위의 서버가 성공적으로 연결되었는지 확인합니다. Azure Portal에서 머신을 확인합니다.

Important

서버가 Arc에 성공적으로 온보딩되었는지 확인한 후에는 그룹 정책 개체를 사용하지 않도록 설정합니다. 이렇게 하면 시스템이 다시 부팅되거나 그룹 정책이 업데이트될 때 예약된 작업의 동일한 Powershell 명령이 실행되지 않습니다.

다음 단계

• 계획 및 배포 가이드를 검토하여 모든 규모의 Azure Arc 지원 서버 배포를 계획하고 중앙 집중식 관리와 모니터링을 구현합니다.
• Connected Machine 에이전트 문제 해결 가이드에서 연결 문제 해결 정보를 검토합니다.
• Azure Policy를 사용하여 컴퓨터를 관리하는 방법(예: VM 게스트 구성, 컴퓨터에서 예상되는 Log Analytics 작업 영역에 보고하는지 확인, VM 인사이트를 사용하는 모니터링 사용 등)을 알아봅니다.
• 그룹 정책에 대해 알아봅니다.