Ansluta datorer i stor skala med grupprincip
Du kan registrera Active Directory-anslutna Windows-datorer till Azure Arc-aktiverade servrar i stor skala med hjälp av grupprincip.
Du måste först konfigurera en lokal fjärrresurs med connected machine-agenten och ändra ett skript som anger den Arc-aktiverade serverns landningszon i Azure. Sedan kör du ett skript som genererar ett grupprincipobjekt (GPO) för att registrera en grupp datorer till Azure Arc-aktiverade servrar. Det här grupprincipobjektet kan tillämpas på plats-, domän- eller organisationsnivå. Tilldelningen kan också använda åtkomstkontrollistan (ACL) och annan säkerhetsfiltrering som är inbyggd i grupprincipen. Datorer i omfånget för grupprincipen registreras på Azure Arc-aktiverade servrar. Begränsa grupprincipobjektet till att endast inkludera datorer som du vill registrera i Azure Arc.
Innan du kommer igång måste du granska förutsättningarna och kontrollera att din prenumeration och dina resurser uppfyller kraven. Information om regioner som stöds och andra relaterade överväganden finns i Azure-regioner som stöds. Läs även vår planeringsguide i stor skala för att förstå design- och distributionskriterierna samt våra hanterings- och övervakningsrekommendationer.
Om du inte har någon Azure-prenumeration skapar du ett kostnadsfritt konto innan du börjar.
Automatisk anslutning för SQL Server
När du ansluter en Windows- eller Linux-server till Azure Arc som även har Microsoft SQL Server installerat ansluts även SQL Server-instanserna automatiskt till Azure Arc. SQL Server som aktiveras av Azure Arc innehåller en detaljerad inventering och ytterligare hanteringsfunktioner för dina SQL Server-instanser och -databaser. Som en del av anslutningsprocessen distribueras ett tillägg till din Azure Arc-aktiverade server och nya roller tillämpas på SQL Server och databaser. Om du inte vill ansluta dina SQL-servrar automatiskt till Azure Arc kan du avanmäla dig genom att lägga till en tagg på Windows- eller Linux-servern med namnet ArcSQLServerExtensionDeployment och värdet Disabled när den är ansluten till Azure Arc.
Mer information finns i Hantera automatisk anslutning för SQL Server som aktiveras av Azure Arc.
Förbereda en fjärrresurs och skapa ett huvudnamn för tjänsten
Grupprincipobjektet, som används för att registrera Azure Arc-aktiverade servrar, kräver en fjärrresurs med connected machine-agenten. Du måste:
Förbered en fjärrresurs som värd för Azure Connected Machine-agentpaketet för Windows och konfigurationsfilen. Du måste kunna lägga till filer på den distribuerade platsen. Nätverksresursen ska ge domänkontrollanter och domändatorer ändringsbehörigheter och domänadministratörer med fullständig behörighet.
Följ stegen för att skapa ett huvudnamn för tjänsten för registrering i stor skala.
- Tilldela Azure Connected Machine Onboarding-rollen till tjänstens huvudnamn och begränsa omfånget för rollen till azure-mållandningszonen.
- Anteckna tjänstens huvudnamnshemlighet; du behöver det här värdet senare.
Ladda ned och packa upp mappen ArcEnabledServersGroupPolicy_vX.X.X från https://github.com/Azure/ArcEnabledServersGroupPolicy/releases/latest/. Den här mappen innehåller ArcGPO-projektstrukturen med skripten
EnableAzureArc.ps1,DeployGPO.ps1ochAzureArcDeployment.psm1. Dessa tillgångar används för att registrera datorn på Azure Arc-aktiverade servrar.Ladda ned den senaste versionen av Windows Installer-paketet för Azure Connected Machine-agenten från Microsoft Download Center och spara den på fjärrresursen.
Kör distributionsskriptet
DeployGPO.ps1och ändra körningsparametrarna för DomainFQDN, ReportServerFQDN, ArcRemoteShare, tjänstens huvudnamnshemlighet, klient-ID för tjänstens huvudnamn, prenumerations-ID, resursgrupp, region, klientorganisation och AgentProxy (om tillämpligt):.\DeployGPO.ps1 -DomainFQDN contoso.com -ReportServerFQDN Server.contoso.com -ArcRemoteShare AzureArcOnBoard -ServicePrincipalSecret $ServicePrincipalSecret -ServicePrincipalClientId $ServicePrincipalClientId -SubscriptionId $SubscriptionId -ResourceGroup $ResourceGroup -Location $Location -TenantId $TenantId [-AgentProxy $AgentProxy]
Tillämpa grupprincipobjektet
I konsolen grupprinciphantering (GPMC) högerklickar du på önskad organisationsenhet och länkar grupprincipobjektet med namnet [MSFT] Azure Arc-servrar (datetime). Det här är grupprincipobjektet som har den schemalagda aktiviteten för att registrera datorerna. Efter 10 eller 20 minuter replikeras grupprincipobjektet till respektive domänkontrollanter. Läs mer om att skapa och hantera grupprinciper i Microsoft Entra Domain Services.
När du har installerat agenten och konfigurerat den för att ansluta till Azure Arc-aktiverade servrar går du till Azure-portalen för att kontrollera att servrarna i organisationsenheten har anslutits. Visa dina datorer i Azure-portalen.
Viktigt!
När du har bekräftat att servrarna har registrerats på Arc inaktiverar du grupprincipobjektet. Detta förhindrar att samma Powershell-kommandon i de schemalagda aktiviteterna körs när systemet startas om eller när grupprincipen uppdateras.
Nästa steg
- Läs planerings - och distributionsguiden för att planera för distribution av Azure Arc-aktiverade servrar i valfri skala och implementera centraliserad hantering och övervakning.
- Granska information om felsökning av anslutningar i guiden Felsöka ansluten datoragent.
- Lär dig hur du hanterar din dator med Hjälp av Azure Policy för exempelvis vm-gästkonfiguration, kontrollera att datorn rapporterar till den förväntade Log Analytics-arbetsytan, aktivera övervakning med VM-insikter och mycket mer.
- Läs mer om grupprincip.
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för