Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Se aplica a: Implementaciones hiperconvergidas de Azure Local
En este artículo se describe cómo puede cambiar la contraseña asociada al usuario de implementación en Azure Local.
Cambio de la contraseña de usuario de implementación
Use el cmdlet Set-AzureStackLCMUserPassword de PowerShell para rotar los secretos de credenciales de administrador deAzureStackLCMUserCredential dominio. Este cmdlet cambia la contraseña del usuario que se conecta a los hosts del servidor.
Nota:
Al ejecutar Set-AzureStackLCMUserPassword, el cmdlet solo actualiza lo que se cambió anteriormente en Active Directory.
Cmdlet y propiedades de PowerShell
El Set-AzureStackLCMUserPassword cmdlet toma los parámetros siguientes:
| Parámetro | Descripción |
|---|---|
Identity |
Nombre de usuario del usuario cuya contraseña desea cambiar. |
OldPassword |
Contraseña actual del usuario. |
NewPassword |
Nueva contraseña para el usuario. |
UpdateAD |
Parámetro opcional que se usa para establecer una nueva contraseña en Active Directory. |
Ejecución del cmdlet Set-AzureStackLCMUserPassword
Establezca los parámetros y, a continuación, ejecute el Set-AzureStackLCMUserPassword cmdlet para cambiar la contraseña:
$old_pass = convertto-securestring "<Old password>" -asplaintext -force
$new_pass = convertto-securestring "<New password>" -asplaintext -force
Set-AzureStackLCMUserPassword -Identity mgmt -OldPassword $old_pass -NewPassword $new_pass -UpdateAD
Una vez que se cambia la contraseña, finaliza la sesión. A continuación, debe iniciar sesión con la contraseña actualizada.
Esta es una salida de ejemplo al usar Set-AzureStackLCMUserPassword:
PS C:\Users\MGMT> $old_pass = convertto-securestring "Passwordl23!" -asplaintext -force
PS C:\Users\MGMT> $new_pass = convertto-securestring "Passwordl23!1" -asplaintext -force
PS C:\Users\MGMT> Set-AzureStackLCMUserPassword -Identity mgmt -OldPassword $old_pass -NewPassword $new_pass -UpdateAD
WARNING: !WARNING!
The current session will be unresponsive once this command completes. You will have to login again with updated credentials. Do you want to continue?
Updating password in AD.
WARNING: Please close this session and log in again.
PS C:\Users\MGMT>
Cambio de la clave de cuenta de almacenamiento del testigo de clúster
En esta sección se describe cómo puede cambiar la clave de cuenta de almacenamiento para la cuenta de almacenamiento testigo del clúster.
Inicie sesión en uno de los nodos locales de Azure mediante credenciales de usuario de implementación.
Configure el cuórum de testigos usando la clave de la cuenta de almacenamiento secundaria.
Set-ClusterQuorum -CloudWitness -AccountName <storage account name> -AccessKey <storage account secondary key>Gire la clave principal de la cuenta de almacenamiento.
Configure el cuórum testigo mediante la clave de cuenta de almacenamiento rotada:
Set-ClusterQuorum -CloudWitness -AccountName <storage account name> -AccessKey <storage account primary key>Gire la clave secundaria de la cuenta de almacenamiento.
Actualice la clave principal de la cuenta de almacenamiento en el almacén de ECE:
$SecureSecretText = ConvertTo-SecureString -String "<Replace Storage account key>" -AsPlainText -Force $WitnessCred = New-Object -Type PSCredential -ArgumentList "WitnessCredential,$SecureSecretText" Set-ECEServiceSecret -ContainerName WitnessCredential -Credential $WitnessCred
Revocar el token de SAS para la cuenta de almacenamiento que se usa para las imágenes de máquina virtual local de Azure
En esta sección se describe cómo revocar el token de firma de acceso compartido (SAS) para la cuenta de almacenamiento usada para las imágenes que usan las máquinas virtuales locales de Azure habilitadas por Arc.
| Directiva SAS | ¿Ha expirado SAS? | Pasos para revocar |
|---|---|---|
| Cualquier SAS | Sí | No se requiere ninguna acción, ya que la SAS ya no es válida. |
| SAS ad hoc firmada con una clave de cuenta | No | Gire o vuelva a generar manualmente la clave de cuenta de almacenamiento que se usa para crear SAS. |
| SAS ad hoc firmada con una clave de delegación de usuarios | No | Para revocar la clave de delegación de usuarios o cambiar las asignaciones de roles, consulte Revocación de una SAS de delegación de usuarios. |
| SAS con directiva de acceso almacenada | No | Para actualizar la hora de expiración a una fecha o hora pasadas, o eliminar la directiva de acceso almacenada, consulte Modificación o revocación de una directiva de acceso almacenada. |
Para obtener más información, consulte Revocar una SAS.
Cambio de la entidad de servicio de implementación
En esta sección se describe cómo puede cambiar la entidad de servicio que se usa para la implementación.
Nota:
Este escenario solo se aplica cuando actualizó el software de Azure Local 2306 a Azure Local, versión 23H2.
Siga estos pasos para cambiar la entidad de servicio de implementación:
Inicie sesión en su identificador de Entra de Microsoft.
Busque la entidad de servicio que usó al implementar la instancia local de Azure. Cree un nuevo secreto de cliente para la entidad de servicio.
Tome nota de para
appIDla entidad de servicio existente y la nueva<client secret>.Inicie sesión en una de las máquinas locales de Azure con las credenciales de usuario de implementación.
Inicie de sesión en Azure. Ejecute el siguiente comando de PowerShell:
Connect-AzAccountEstablezca el contexto de la suscripción. Ejecute el siguiente comando de PowerShell:
Set-AzContext -Subscription <Subscription ID>Actualice el nombre de la entidad de seguridad de servicio. Ejecute los comandos de PowerShell siguientes:
cd "C:\Program Files\WindowsPowerShell\Modules\Microsoft.AS.ArcIntegration" Import-Module Microsoft.AS.ArcIntegration.psm1 -Force $secretText=ConvertTo-SecureString -String <client secret> -AsPlainText -Force Update-ServicePrincipalName -AppId <appID> -SecureSecretText $secretText
Cambio del secreto de la entidad de servicio de ARB
En esta sección se describe cómo puede cambiar la entidad de servicio usada para el puente de recursos de Azure que creó durante la implementación.
Para cambiar la entidad de servicio de implementación, siga estos pasos:
Inicie sesión en su id. de Microsoft Entra.
Busque la entidad de servicio para el puente de recursos de Azure. El nombre del principal del servicio tiene el formato ClusternameXX.arb.
Cree un nuevo secreto de cliente para la entidad de servicio.
Tome nota de para
appIDla entidad de servicio existente y la nueva<client secret>.Inicie sesión en una de las máquinas locales de Azure con las credenciales de usuario de implementación.
Ejecute el siguiente comando de PowerShell:
$SubscriptionId= "<Subscription ID>" $TenantId= "<Tenant ID>" $AppId = "<Application ID>" $secretText= "<Client secret>" $NewPassword = ConvertTo-SecureString -String $secretText -AsPlainText -Force Set-AzureStackRPSpCredential -SubscriptionID $SubscriptionId -TenantID $TenantId -AppId $AppId -NewPassword $NewPassword
Rotación de secretos internos
En esta sección se describe cómo puede rotar secretos internos. Los secretos internos incluyen certificados, contraseñas, cadenas seguras y claves que usa la infraestructura local de Azure. La rotación de secretos internos solo es necesaria si sospecha que alguno de ellos se ha puesto en peligro o si ha recibido una alerta de expiración.
Los pasos exactos para la rotación de secretos son diferentes en función de la versión de software en la que se ejecuta la instancia local de Azure.
Instancia local de Azure que ejecuta 2411.2 y versiones posteriores
Inicie sesión en uno de los nodos locales de Azure mediante credenciales de usuario de implementación.
Inicie la rotación de secretos. Ejecute el siguiente comando de PowerShell:
Start-SecretRotation
Instancia local de Azure que ejecuta 2411.1 a 2411.0
Inicie sesión en uno de los nodos locales de Azure mediante credenciales de usuario de implementación.
Actualice la contraseña del certificado de autoridad de certificación en el almacén ECE. Ejecute el siguiente comando de PowerShell:
$SecureSecretText = ConvertTo-SecureString -String "<Replace with a strong password>" -AsPlainText -Force $CACertCred = New-Object -Type PSCredential -ArgumentList "CACertUser,$SecureSecretText" Set-ECEServiceSecret -ContainerName CACertificateCred -Credential $CACertCredInicie la rotación de secretos. Ejecute el siguiente comando de PowerShell:
Start-SecretRotation
Instancia local de Azure que ejecuta la versión 2408.2 o anterior
Inicie sesión en uno de los nodos locales de Azure mediante credenciales de usuario de implementación.
Actualice la contraseña del certificado de autoridad de certificación en el almacén ECE. Ejecute el siguiente comando de PowerShell:
$SecureSecretText = ConvertTo-SecureString -String "<Replace with a strong password>" -AsPlainText -Force $CACertCred = New-Object -Type PSCredential -ArgumentList (CACertificateCred),$SecureSecretText Set-ECEServiceSecret -ContainerName CACertificateCred -Credential $CACertCredElimine el certificado FCA de todos los nodos del clúster y reinicie el servicio FCA. Ejecute el siguiente comando en cada nodo de la instancia local de Azure:
$cert = Get-ChildItem -Recurse cert:\LocalMachine\My | Where-Object { $_.Subject -like "CN=FileCopyAgentKeyIdentifier*" } $cert | Remove-Item restart-service "AzureStack File Copy Agent*"Inicie la rotación de secretos. Ejecute el siguiente comando de PowerShell:
Start-SecretRotation
Pasos siguientes
Complete los requisitos previos y la lista de comprobación e instale Azure Local.