Verbinding maken machines op schaal met groepsbeleid
U kunt windows-machines die zijn toegevoegd aan Active Directory op schaal onboarden op servers met Azure Arc met behulp van Groepsbeleid.
U moet eerst een lokale externe share instellen met de Verbinding maken ed Machine-agent en een script wijzigen waarin de landingszone van de Arc-server in Azure wordt opgegeven. Vervolgens voert u een script uit waarmee een Groepsbeleidsobject (GPO) wordt gegenereerd voor het onboarden van een groep computers naar servers met Azure Arc. Dit groepsbeleidsobject kan worden toegepast op het niveau van de site, het domein of de organisatie. Toewijzing kan ook gebruikmaken van toegangsbeheerlijst (ACL) en andere beveiligingsfilters die systeemeigen zijn voor groepsbeleid. Machines binnen het bereik van het groepsbeleid worden toegevoegd aan servers met Azure Arc. Bereik uw groepsbeleidsobject om alleen machines op te nemen die u wilt onboarden naar Azure Arc.
Voordat u aan de slag gaat, moet u de vereisten controleren en controleren of uw abonnement en resources aan de vereisten voldoen. Zie ondersteunde Azure-regio's voor informatie over ondersteunde regio's en andere gerelateerde overwegingen. Bekijk ook onze planningshandleiding op schaal om inzicht te hebben in de ontwerp- en implementatiecriteria, evenals onze aanbevelingen voor beheer en bewaking.
Als u geen Azure-abonnement hebt, maakt u een gratis account voordat u begint.
Automatische verbinding voor SQL Server
Wanneer u een Windows- of Linux-server verbindt met Azure Arc waarop ook Microsoft SQL Server is geïnstalleerd, worden de SQL Server-exemplaren ook automatisch verbonden met Azure Arc. SQL Server ingeschakeld door Azure Arc biedt een gedetailleerde inventaris en aanvullende beheermogelijkheden voor uw SQL Server-exemplaren en -databases. Als onderdeel van het verbindingsproces wordt een extensie geïmplementeerd op uw server met Azure Arc en worden nieuwe functies toegepast op uw SQL Server en databases. Als u uw SQL-servers niet automatisch wilt verbinden met Azure Arc, kunt u zich afmelden door een tag toe te voegen aan de Windows- of Linux-server met de naam ArcSQLServerExtensionDeployment en waarde Disabled wanneer deze is verbonden met Azure Arc.
Zie Automatische verbinding beheren voor SQL Server ingeschakeld door Azure Arc voor meer informatie.
Een externe share voorbereiden en een service-principal maken
Het groepsbeleidsobject, dat wordt gebruikt voor het onboarden van servers met Azure Arc, vereist een externe share met de Verbinding maken ed Machine-agent. U moet het volgende doen:
Bereid een externe share voor om het Azure Verbinding maken ed Machine-agentpakket voor Windows en het configuratiebestand te hosten. U moet bestanden kunnen toevoegen aan de gedistribueerde locatie. De netwerkshare moet domeincontrollers en domeincomputers voorzien van machtigingen voor wijzigen en domein Beheer s met machtigingen voor volledig beheer.
Volg de stappen om een service-principal te maken voor onboarding op schaal.
- Wijs de azure Verbinding maken ed Machine Onboarding-rol toe aan uw service-principal en beperk het bereik van de rol tot de doellandingszone van Azure.
- Noteer het geheim van de service-principal; u hebt deze waarde later nodig.
Download en pak de map ArcEnabledServersGroupPolicy_vX.X.X uit https://github.com/Azure/ArcEnabledServersGroupPolicy/releases/latest/. Deze map bevat de ArcGPO-projectstructuur met de scripts
EnableAzureArc.ps1,DeployGPO.ps1enAzureArcDeployment.psm1. Deze assets worden gebruikt voor het onboarden van de machine naar servers met Azure Arc.Download de nieuwste versie van het Windows Installer-pakket van de Azure Verbinding maken ed Machine-agent vanuit het Microsoft Downloadcentrum en sla deze op in de externe share.
Voer het implementatiescript
DeployGPO.ps1uit, wijzig de uitvoeringsparameters voor de DomainFQDN, ReportServerFQDN, ArcRemoteShare, Service Principal Secret, Service Principal Client ID, Subscription ID, Resource Group, Region, Tenant en AgentProxy (indien van toepassing):.\DeployGPO.ps1 -DomainFQDN contoso.com -ReportServerFQDN Server.contoso.com -ArcRemoteShare AzureArcOnBoard -ServicePrincipalSecret $ServicePrincipalSecret -ServicePrincipalClientId $ServicePrincipalClientId -SubscriptionId $SubscriptionId -ResourceGroup $ResourceGroup -Location $Location -TenantId $TenantId [-AgentProxy $AgentProxy]
Het groepsbeleidsobject toepassen
Klik in de console Groepsbeleidsbeheer (GPMC) met de rechtermuisknop op de gewenste organisatie-eenheid en koppel het groepsbeleidsobject met de naam [MSFT] Azure Arc-servers (datum/tijd). Dit is het groepsbeleidsobject met de geplande taak om de machines te onboarden. Na 10 of 20 minuten wordt het groepsbeleidsobject gerepliceerd naar de respectieve domeincontrollers. Meer informatie over het maken en beheren van groepsbeleid in Microsoft Entra Domain Services.
Nadat u de agent hebt geïnstalleerd en deze hebt geconfigureerd om verbinding te maken met servers met Azure Arc, gaat u naar Azure Portal om te controleren of de servers in uw organisatie-eenheid verbinding hebben gemaakt. Bekijk uw computers in Azure Portal.
Belangrijk
Nadat u hebt bevestigd dat uw servers zijn toegevoegd aan Arc, schakelt u het groepsbeleidsobject uit. Hiermee voorkomt u dat dezelfde PowerShell-opdrachten in de geplande taken worden uitgevoerd wanneer het systeem opnieuw wordt opgestart of wanneer het groepsbeleid wordt bijgewerkt.
Volgende stappen
- Raadpleeg de plannings- en implementatiehandleiding voor het plannen van de implementatie van servers met Azure Arc op elke schaal en implementeer gecentraliseerd beheer en bewaking.
- Bekijk de informatie over het oplossen van verbindingsproblemen in de handleiding problemen met Verbinding maken ed Machine-agent oplossen.
- Meer informatie over het beheren van uw machine met behulp van Azure Policy voor zaken zoals vm-gastconfiguratie, het controleren of de machine rapporteert aan de verwachte Log Analytics-werkruimte, het inschakelen van bewaking met VM-inzichten en nog veel meer.
- Meer informatie over Groepsbeleid.