Koneksi mesin dalam skala besar menggunakan Kebijakan Grup

  • Artikel

Anda dapat melakukan onboarding komputer Windows yang bergabung dengan Active Directory ke server berkemampuan Azure Arc dalam skala besar menggunakan Kebijakan Grup.

Anda harus terlebih dahulu menyiapkan berbagi jarak jauh lokal dengan agen Koneksi ed Machine dan memodifikasi skrip yang menentukan zona pendaratan server dengan dukungan Arc dalam Azure. Anda kemudian akan menjalankan skrip yang menghasilkan Objek Kebijakan Grup (GPO) untuk melakukan onboarding sekelompok komputer ke server berkemampuan Azure Arc. Objek Kebijakan Grup ini dapat diterapkan ke tingkat situs, domain, atau organisasi. Penugasan juga dapat menggunakan Daftar Kontrol Akses (ACL) dan pemfilteran keamanan lainnya asli untuk Kebijakan Grup. Komputer dalam cakupan Kebijakan Grup akan di-onboarding ke server dengan dukungan Azure Arc. Cakupan GPO Anda untuk hanya menyertakan komputer yang ingin Anda onboarding ke Azure Arc.

Sebelum mulai, tinjau prasyaratnya dan pastikan langganan serta sumber daya Anda memenuhi persyaratan. Untuk mendapatkan informasi tentang wilayah yang didukung dan pertimbangan terkait lainnya, lihat wilayah Azure yang didukung. Tinjau juga panduan perencanaan dalam skala besar kami untuk memahami kriteria desain dan penyebaran, serta rekomendasi manajemen dan pemantauan kami.

Jika Anda tidak memiliki langganan Azure, buat akun gratis sebelum Anda memulai.

Koneksi otomatis untuk SQL Server

Saat Anda menyambungkan server Windows atau Linux ke Azure Arc yang juga menginstal Microsoft SQL Server, instans SQL Server juga akan secara otomatis terhubung ke Azure Arc. SQL Server yang diaktifkan oleh Azure Arc menyediakan inventarit terperinci dan kemampuan manajemen tambahan untuk instans dan database SQL Server Anda. Sebagai bagian dari proses koneksi, ekstensi disebarkan ke server berkemampuan Azure Arc Anda dan peran baru akan diterapkan ke SQL Server dan database Anda. Jika Anda tidak ingin menyambungkan SQL Server Anda secara otomatis ke Azure Arc, Anda dapat memilih keluar dengan menambahkan tag ke server Windows atau Linux dengan nama ArcSQLServerExtensionDeployment dan nilai Disabled saat tersambung ke Azure Arc.

Untuk informasi selengkapnya, lihat Mengelola koneksi otomatis untuk SQL Server yang diaktifkan oleh Azure Arc.

Menyiapkan berbagi jarak jauh dan membuat perwakilan layanan

Objek Kebijakan Grup, yang digunakan untuk onboarding server dengan dukungan Azure Arc, memerlukan berbagi jarak jauh dengan agen Komputer yang Koneksi. Anda harus:

  1. Siapkan berbagi jarak jauh untuk menghosting paket agen Azure Koneksi ed Machine untuk Windows dan file konfigurasi. Anda harus dapat menambahkan file ke lokasi terdistribusi. Berbagi jaringan harus menyediakan Pengendali Domain, dan Komputer Domain dengan izin Ubah, dan Admin Domain dengan izin Kontrol Penuh.

  2. Ikuti langkah-langkah untuk membuat perwakilan layanan untuk onboarding dalam skala besar.

    • Tetapkan peran Azure Koneksi ed Machine Onboarding ke perwakilan layanan Anda dan batasi cakupan peran ke zona arahan Azure target.
    • Catat Rahasia Perwakilan Layanan; Anda akan membutuhkan nilai ini nanti.

  3. Unduh dan buka zip folder ArcEnabledServersGroupPolicy_vX.X.X dari https://github.com/Azure/ArcEnabledServersGroupPolicy/releases/latest/. Folder ini berisi struktur proyek ArcGPO dengan skrip EnableAzureArc.ps1, , DeployGPO.ps1dan AzureArcDeployment.psm1. Aset ini akan digunakan untuk onboarding komputer ke server dengan dukungan Azure Arc.

  4. Unduh versi terbaru paket Windows Installer agen Azure Koneksi ed Machine dari Pusat Unduhan Microsoft dan simpan ke berbagi jarak jauh.

  5. Jalankan skrip DeployGPO.ps1penyebaran , memodifikasi parameter eksekusi untuk DomainFQDN, ReportServerFQDN, ArcRemoteShare, rahasia Perwakilan Layanan, ID Klien Perwakilan Layanan, ID Langganan, Grup Sumber Daya, Wilayah, Penyewa, dan AgentProxy (jika ada):

    .\DeployGPO.ps1 -DomainFQDN contoso.com -ReportServerFQDN Server.contoso.com -ArcRemoteShare AzureArcOnBoard -ServicePrincipalSecret $ServicePrincipalSecret -ServicePrincipalClientId $ServicePrincipalClientId -SubscriptionId $SubscriptionId -ResourceGroup $ResourceGroup -Location $Location -TenantId $TenantId [-AgentProxy $AgentProxy]

Terapkan Objek Kebijakan Grup

Pada Konsol Manajemen Kebijakan Grup (GPMC), klik kanan pada Unit Organisasi yang diinginkan dan tautkan GPO bernama [MSFT] Azure Arc Servers (tanggalwaktu). Ini adalah Objek Kebijakan Grup yang memiliki Tugas Terjadwal untuk onboarding komputer. Setelah 10 atau 20 menit, Objek Kebijakan Grup akan direplikasi ke pengendali domain masing-masing. Pelajari selengkapnya tentang membuat dan mengelola kebijakan grup di Microsoft Entra Domain Services.

Setelah Anda berhasil menginstal agen dan mengonfigurasinya untuk menyambungkan ke server dengan dukungan Azure Arc, buka portal Azure untuk memverifikasi bahwa server di Unit Organisasi Anda telah berhasil tersambung. Lihat mesin Anda di portal Microsoft Azure.

Penting

Setelah Anda mengonfirmasi bahwa server Anda telah berhasil melakukan onboarding ke Arc, nonaktifkan Objek Kebijakan Grup. Ini akan mencegah perintah Powershell yang sama dalam tugas terjadwal agar tidak dijalankan saat sistem memulai ulang atau kapan kebijakan grup diperbarui.

Langkah berikutnya

  • Tinjau Panduan Perencanaan dan penyebaran untuk merencanakan penerapan server yang diaktifkan Azure Arc dalam skala apa pun dan terapkan manajemen dan pemantauan terpusat.
  • Tinjau informasi pemecahan masalah koneksi di panduan Memecahkan masalah agen Mesin yang Koneksi.
  • Pelajari cara mengelola komputer Anda menggunakan Azure Policy untuk hal-hal seperti konfigurasi tamu VM, memverifikasi bahwa komputer melaporkan ke ruang kerja Analitik Log yang diharapkan, memungkinkan pemantauan dengan wawasan VM, dan banyak lagi.
  • Pelajari selengkapnya tentang Kebijakan Grup.