使用组策略大规模连接计算机

可以使用组策略大规模地将已加入 Active Directory 的 Windows 计算机加入到已启用 Azure Arc 的服务器。

首先需要设置带有 Connected Machine Agent 的本地远程共享,并修改一个脚本,该脚本指定已启用 Arc 的服务器在 Azure 中的登陆区域。 然后,你将运行一个脚本,该脚本生成一个组策略对象 (GPO),以便将一组计算机加入到已启用 Azure Arc 的服务器。 此组策略对象可以应用于站点、域或组织级别。 分配还可以使用组策略原生的访问控制列表 (ACL) 和其他安全筛选。 组策略范围内的计算机将加入到已启用 Azure Arc 的服务器。 将 GPO 范围限定为仅包括要加入 Azure Arc 的计算机。

在开始之前,请务必查看先决条件,并验证你的订阅和资源是否符合要求。 有关支持的区域和其他相关注意事项的信息,请参阅支持的 Azure 区域。 另请查看我们的《大规模规划指南》,以了解设计和部署标准,以及我们的管理和监视建议。

如果没有 Azure 订阅,请在开始前创建一个试用版订阅

SQL Server 的自动连接

将 Windows 或 Linux 服务器连接到也安装了 Microsoft SQL Server 的 Azure Arc 时,SQL Server 实例也会自动连接到 Azure Arc。 通过 Azure Arc 启用的 SQL Server 为 SQL Server 实例和数据库提供详细清单和附加管理功能。 在连接过程中,扩展将部署到已启用 Azure Arc 的服务器,新角色将应用到 SQL Server 和数据库。 如果不想自动将 SQL Server 连接到 Azure Arc,则可通过在 Windows 或 Linux 服务器连接到 Azure Arc 时向其添加一个名为 ArcSQLServerExtensionDeployment 且值为 Disabled 的标记来选择退出。

有关详细信息,请参阅管理 Azure Arc 启用的 SQL Server 自动连接

准备远程共享并创建服务主体

用于加入已启用 Azure Arc 的服务器的组策略对象需要与 Connected Machine Agent 的远程共享。 需执行以下操作:

  1. 准备远程共享以托管用于 Windows 的 Azure Connected Machine 代理包和配置文件。 需要能够将文件添加到分布式位置。 网络共享应为域控制器和域计算机提供更改权限,为域管理员提供完全控制权限。

  2. 按照步骤为大规模加入创建服务主体

    • 将“Azure Connected Machine 加入”角色分配给服务主体,并将该角色的作用域限制为目标 Azure 登陆区域。
    • 记下服务主体密钥;稍后需要用到此值。
  3. https://github.com/Azure/ArcEnabledServersGroupPolicy/releases/latest/ 下载 ArcEnabledServersGroupPolicy_vX.X.X 文件夹并将其解压缩。 此文件夹包含具有脚本 EnableAzureArc.ps1DeployGPO.ps1AzureArcDeployment.psm1 的 ArcGPO 项目结构。 将使用这些资产将计算机加入已启用 Azure Arc 的服务器。

  4. 从 Microsoft 下载中心下载最新版本的 Azure Connected Machine 代理 Windows Installer 包并将其保存到远程共享。

  5. 执行部署脚本 DeployGPO.ps1,修改 DomainFQDN、ReportServerFQDN、ArcRemoteShare、服务主体机密、服务主体客户端 ID、订阅 ID、资源组、区域、租户和 AgentProxy(如果适用)的运行参数:

    .\DeployGPO.ps1 -DomainFQDN contoso.com -ReportServerFQDN Server.contoso.com -ArcRemoteShare AzureArcOnBoard -ServicePrincipalSecret $ServicePrincipalSecret -ServicePrincipalClientId $ServicePrincipalClientId -SubscriptionId $SubscriptionId -ResourceGroup $ResourceGroup -Location $Location -TenantId $TenantId [-AgentProxy $AgentProxy]
    

应用组策略对象

在组策略管理控制台 (GPMC) 上,右键单击所需的组织单位并链接名为“[MSFT] Azure Arc Servers (datetime)”的 GPO。 这是组策略对象,其中包含要加入计算机的计划任务。 10 或 20 分钟后,组策略对象将复制到相应的域控制器。 详细了解如何在 Microsoft Entra 域服务中创建和管理组策略

成功安装代理并将其配置为连接到已启用 Azure Arc 的服务器后,请转到 Azure 门户,验证是否已成功连接组织单位中的服务器。 在 Azure 门户中查看计算机。

重要

确认服务器已成功加入到 Arc 后,禁用组策略对象。 这将阻止在系统重启或组策略进行更新时执行计划任务中的相同 Powershell 命令。

后续步骤