你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
可以使用组策略大规模将已加入 Active Directory 的 Windows 计算机加入 到已启用 Azure Arc 的服务器 。
首先,设置托管 Connected Machine 代理的远程共享,然后修改一个脚本,指定已启用 Arc 的服务器在 Azure 中的登陆区域。 接下来,运行生成组策略对象(GPO)的脚本,将一组计算机载入已启用 Azure Arc 的服务器。 此组策略对象可在站点、域或组织级别应用。 分配还可以使用访问控制列表(ACL)和其他本机到组策略的安全筛选。 组策略范围内的所有计算机都将载入到已启用 Azure Arc 的服务器,因此将 GPO 的范围限定为仅包含要加入到 Azure Arc 的计算机。
在开始之前,请确保环境满足 连接的计算机代理先决条件 和 部署已启用 Azure Arc 的服务器的网络要求。 有关支持的区域和其他相关注意事项的信息,请参阅支持的 Azure 区域。 若要详细了解设计和部署条件,请查看我们的 大规模规划指南。
如果没有 Azure 订阅,请在开始之前创建一个免费帐户。
SQL Server 的自动连接
将 Windows 或 Linux 服务器连接到还安装了 Microsoft SQL Server 的 Azure Arc 时,SQL Server 实例也会自动连接到 Azure Arc。
通过 Azure Arc 启用的 SQL Server 为 SQL Server 实例和数据库提供详细清单和附加管理功能。 在连接过程中,扩展将部署到已启用 Azure Arc 的服务器, 并将新角色 应用到 SQL Server 和数据库。 如果不想自动将 SQL Server 连接到 Azure Arc,可以在将标记添加到具有名称和 ArcSQLServerExtensionDeployment 值的 Disabled Windows 或 Linux 服务器时选择退出。
有关详细信息,请参阅管理 Azure Arc 启用的 SQL Server 自动连接。
准备远程共享并创建服务主体
用于加入已启用 Azure Arc 的服务器的组策略对象需要与 Connected Machine Agent 的远程共享。
准备远程共享以托管用于 Windows 的 Azure Connected Machine 代理包和配置文件。 需要能够将文件添加到此远程共享。 域控制器和域计算机必须可访问网络共享。 域计算机应具有更改权限,域管理员应具有完全控制权限。
按照步骤为大规模加入创建服务主体。
- 将 Azure Connected Machine Onboarding 角色分配给服务主体。 将角色的范围限制为目标 Azure 登陆区域。
- 记下服务主体密钥;稍后需要用到此值。
从 下载 ArcEnabledServersGroupPolicy_vX.X.Xhttps://github.com/Azure/ArcEnabledServersGroupPolicy/releases/latest/ 文件夹并将其解压缩。 此文件夹包含具有脚本
EnableAzureArc.ps1、DeployGPO.ps1和AzureArcDeployment.psm1的 ArcGPO 项目结构。 这些资产用于将计算机载入已启用 Azure Arc 的服务器。从 Microsoft 下载中心下载最新版本的 Azure Connected Machine 代理 Windows Installer 包并将其保存到远程共享。
在域控制器上执行部署脚本
DeployGPO.ps1,修改 DomainFQDN、ReportServerFQDN、ArcRemoteShare、服务主体机密、服务主体客户端 ID、订阅 ID、资源组、区域、租户和 AgentProxy 的运行参数(如果适用)。 可以在脚本注释中找到有关这些值的详细信息。例如,以下命令将 GPO 部署到 contoso.com 域,并将载入脚本
EnableAzureArc.ps1复制到服务器中的AzureArcOnBoard远程共享Server.contoso.com:.\DeployGPO.ps1 -DomainFQDN contoso.com -ReportServerFQDN Server.contoso.com -ArcRemoteShare AzureArcOnBoard -ServicePrincipalSecret $ServicePrincipalSecret -ServicePrincipalClientId $ServicePrincipalClientId -SubscriptionId $SubscriptionId -ResourceGroup $ResourceGroup -Location $Location -TenantId $TenantId [-AgentProxy $AgentProxy]
应用组策略对象
在组策略管理控制台(GPMC)上,右键单击所需的组织单位(OU),并链接名为 [MSFT] Azure Arc 服务器(datetime)的 GPO。 此 GPO 有一个计划任务来载入计算机。 在 20 分钟内,GPO 将复制到相应的域控制器。 有关在 Microsoft Entra 域服务中创建和管理组策略的详细信息,请参阅 Microsoft Entra Domain Services 托管域中的管理组策略。
验证成功载入
安装和配置代理后,请验证 OU 中的服务器是否已成功连接到 Azure Arc。为此,可以确保它们显示在 Azure 门户 的 Azure Arc - 计算机下。
重要说明
确认服务器已成功载入 Azure Arc 后,请禁用组策略对象。 这样做可以防止计划任务中的 PowerShell 命令在系统重新启动或组策略更新时再次执行。
后续步骤
- 查看规划和部署指南,以便对按任意规模部署启用了 Azure Arc 的服务器进行规划,并实现集中管理和监视。
- 查看 Connected Machine Agent 故障排除指南中的连接故障排除信息。
- 了解如何使用 Azure Policy 管理计算机,例如 Azure 计算机配置、验证计算机是否向预期的 Log Analytics 工作区报告、使用 VM 见解启用监视等等。
- 详细了解组策略。