Einrichten des Azure Files-Speichers für Benutzerpersonalisierungsschichten und Citrix Profilmanagement

Azure Files bietet vollständig verwaltete Dateifreigaben in der Cloud und ist über das Server Message Block (SMB) -Protokoll zugänglich. Azure Files-Freigaben können gleichzeitig in der Cloud und on-premises, unter Windows, Linux oder macOS bereitgestellt werden.

Die Unterstützung von Azure Files für on-premises Active Directory-Domänendienstauthentifizierung ermöglicht es Citrix Benutzerpersonalisierungsschichten und Citrix Profile Management, Azure Files zu verwenden. Weitere Informationen zur Active Directory-Domänendienst-Authentifizierung finden Sie unter on-premises Active Directory-Dienstauthentifizierung über SMB für Azure-Dateifreigaben In diesem Artikel wird erläutert, wie Sie Azure Files für die Verwendung mit Citrix User Personalization Layer und Citrix Profile Management einrichten.

Anforderungen

Zusätzlich zu den Anforderungen für Benutzerpersonalisierungslayer und erfordert Azure Files Profilverwaltung, dass Ihr on-premises lokalisierter Domänencontroller mit Ihrem Azure Active Directory synchronisiert wird.

Übersicht

Bevor Sie Benutzerpersonalisierungs-Layer oder die Profilverwaltung einrichten, richten Sie Azure Files mithilfe der folgenden Schritte ein:

  • Schritt 1: Synchronisieren Sie Azure AD mit Ihrem on-premises AD
  • Schritt 2: Erstellen einer Azure Files-Freigabe
  • Schritt 3: Aktivieren Sie Azure Files AD DS-Authentifizierung
  • Schritt 4: Zuweisen von Freigabe- und NTFS-Berechtigungen

Schritt 1: Synchronisieren Sie Azure AD mit Ihrem on-premises AD

Um Azure Files mit AD-Authentifizierung zu verwenden, Synchronisieren Sie Ihr on-premises AD mit Azure AD mit Azure AD unter Verwendung von Azure AD Connect

Wichtig:

  • Der Azure AD-Mandant und die Dateifreigabe, die für Benutzerpersonalisierungsschichten oder die Profilverwaltung verwendet werden, müssen mit demselben Abonnement verknüpft sein.
  • Die verwendeten Konten müssen im Domänencontroller erstellt und mit Azure AD synchronisiert werden. Konten, die von Azure AD stammen, sind nicht angemessen.

Nachdem die Synchronisierung abgeschlossen ist, geben Sie ihr etwas Zeit, damit Benutzer und Gruppen auf Azure AD repliziert werden, bevor Sie fortfahren.

Schritt 2: Erstellen einer Azure Files-Freigabe

In diesem Verfahren wird erläutert, wie Sie eine Azure Files-Dateifreigabe zum Speichern Ihrer Benutzerlayer und Profile erstellen.

Derzeit gibt es zwei Stufen von Azure Files, Standard und Premium. Wählen Sie die geeignete Stufe basierend auf Ihren Leistungsanforderungen. Weitere Informationen zur Leistung von Azure Files finden Sie unter Azure Files Skalierbarkeits- und Performance-.

In diesem Dokument wird erläutert, wie Sie als Beispiel Standardspeicher einrichten.

  1. Öffnen Sie das Azure-Portal.
  2. Klicken Sie auf Eine Ressource erstellen.
  3. Wählen Sie Speicherkonto — Blob, Datei, Tabelle, Warteschlange.
  4. Geben Sie die folgenden Informationen auf die Seite “Speicherkonto erstellen “ ein:
    • Klicken Sie für Ressourcengruppeauf Neu erstellen.
    • Geben Sie für Speicherkontoeinen eindeutigen Namen ein.
    • Für Standortempfehlen wir, den gleichen Standort wie die Virtual Delivery Agents (VDAs) am Azure-Ressourcenstandort zu wählen.
    • Wählen Sie für LeistungStandardaus. (Beispiel Wahl)
    • Wählen Sie für den KontotypStorageV2aus.
    • Wählen Sie für ReplikationLokal redundanter Speicher (LRS)aus.
  5. Wenn du fertig bist, wähle Rezension + erstellenund dann Erstellenaus.
  6. Sobald die Speicherkonten vorgesehen sind, wählen Sie Gehe zu Ressource.
  7. Wählen Sie auf der Übersichtsseite die Kachel Dateifreigaben aus.
  8. Wählen Sie +Dateifreigabeaus.
    • Geben Sie einen Namenein, zum Beispiel UPLFolder.
    • Geben Sie ein entsprechendes Kontingentein oder lassen Sie das Feld für kein Kontingent leer.
  9. Wählen Sie Create.

Weitere Einzelheiten zum Einrichten von Standard- und Premium Azure Files finden Sie in diesen Dokumenten: Standard und Premium.

Weitere Einzelheiten finden Sie unter Erstellen einer Azure-Dateifreigabe.

Schritt 3: Aktivieren der Azure-Datei-AD-Authentifizierung

Verwenden Sie die Anweisungen in diesem Abschnitt, um Azure-Dateien AD-Authentifizierung zu aktivieren. Sie müssen diese Befehle von jedem Computer aus ausführen, der bereits in die Domäne eingeschlossen ist. Diese Aktion ist eine einmalige Aufgabe. Die zur Ausführung des Prozesses verwendete VM wird für die Lösung nicht benötigt, sobald die Aufgabe abgeschlossen ist.

  1. Verwenden Sie Remote Desktop Protocol (RDP), um eine Verbindung mit der in die Domäne eingebundenen virtuellen Maschine herzustellen.
  2. Folgen Sie den Anweisungen unter, um das AzFilesHybrid-Modul zu installieren und die Authentifizierung zu aktivieren Aktivieren der AD DS-Authentifizierung für Ihre Azure-Dateifreigaben.

Bevor Sie mit dem nächsten Schritt fortfahren, überprüfen Sie, ob Azure Files AD Authentication wie folgt aktiviert ist:

  1. Öffnen Sie das Azure-Portal.
  2. Eröffnen Sie Ihr Speicherkonto, das mit Ihren Azure Files verknüpft ist.
  3. Wählen Sie unter Einstellungdie Option Konfigurationaus und bestätigen Sie, dass Active Directory (AD) auf Aktivierteingestellt ist.

Schritt 4: Zuweisen von Freigabe- und NTFS-Berechtigungen

Bevor Sie Benutzern und Gruppen Benutzerpersonalisierungs-Layer und -Profile zuweisen, konfigurieren Sie den entsprechenden Zugriff auf die Dateifreigabe von Azure Files.

Wichtig:

Die Konten oder Gruppen, denen Sie Berechtigungen zuweisen, müssen in der Domäne erstellt und mit Azure AD synchronisiert werden. Konten, die in Azure AD erstellt wurden, werden nicht unterstützt.

Weisen Sie Benutzern Berechtigungen auf Freigabeebene zu

Im folgenden Abschnitt wird beschrieben, wie die Berechtigungen für die Freigabeebene festgelegt werden:

  1. Öffnen Sie das Azure-Portal.
  2. Öffnen Sie das in Schritt 2 erstellte Speicherkonto.
  3. Wählen Sie Zugriffssteuerung (IAM)aus.
  4. Wählen Sie Eine Rollenzuweisung hinzufügenaus.
  5. Wählen Sie auf der Registerkarte Rollenzuweisung hinzufügen die Option Speicherdateidaten SMB-Freigabe Erhöhter Mitwirkender für das Freigabe-Administratorkonto aus.
  6. Wählen Sie dann Speicherdateidaten SMB Share Contributor für die Benutzer oder Gruppen, denen Benutzerpersonalisierungs-Layer und -Profile zugewiesen werden.
  7. Wählen Sie Speichern.

Die Berechtigungen können bis zu 30 Minuten dauern, bis sie vollständig wirksam werden. Gib ihm etwas Zeit, bevor du mit dem nächsten Schritt fortfst.

Einzelheiten dazu finden Sie im Zuweisen von Berechtigungen auf Freigabeebene zu einer Identität.

Konfigurieren Sie Ihre NTFS-Berechtigungen für den freigegebenen Ordner

Nachdem Sie Ihre Dateifreigabeberechtigungen zugewiesen haben, konfigurieren Sie Ihre NTFS-Berechtigungen.

So konfigurieren Sie NTFS-Berechtigungen auf Verzeichnis- und Dateiebene:

  1. Öffnen Sie das Azure-Portal.
  2. Öffnen Sie das in Schritt 3 erstellte Speicherkonto.
  3. Klicken Sie auf die Kachel Datei
  4. Klicken Sie auf den von Ihnen erstellten Freigabenamen, zum Beispiel Uplshare.
  5. Klicken Sie auf Eigenschaften.
  6. Kopieren Sie den URL-Link.
  7. Nachdem Sie die URL kopiert haben, wandeln Sie sie in das UNC-Format um:
    • https://entfernen
    • Ersetzen Sie alle Schrägstriche // durch Backslashes \\. Zum Beispiel:
      https://uplshare.file.core.windows.net/uplfolder wird \\uplshare.file.core.windows.net\uplfolder.
  8. Stellen Sie mithilfe von RDP eine Verbindung zu einer virtuellen Maschine her, die einer Domäne beigetreten ist.
  9. Öffnen Sie eine Eingabeaufforderung und führen Sie das folgende Cmdlet aus, um die Azure-Dateifreigabe einzuhängen und ihr einen Laufwerksbuchstaben zuzuweisen: net use <drive-letter> UNC-path Beispiel: net use S:\ \\uplshare.file.core.windows.net\uplfolder
  10. Sobald die Freigabe bereitgestellt ist, legen Sie die folgenden Berechtigungen für die gemountete Freigabe fest.
Einstellungsname Wert Anwenden auf
Ersteller-Besitzer Ändern Nur Unterordner und Dateien
Besitzerrechte Ändern Nur Unterordner und Dateien
Benutzer oder Gruppe: Ordner erstellen/Daten anhängen; Ordner durchsuchen/Datei ausführen; Ordner auflisten/Daten lesen; Attribute lesen Nur ausgewählter Ordner
System Vollzugriff Ausgewählter Ordner sowie Unterordner und Dateien
Domänenadministratoren und ausgewählte Administratorgruppe Vollzugriff Ausgewählter Ordner sowie Unterordner und Dateien

Einrichten der Benutzerpersonalisierungsebenen und -profile

Als Nächstes können Sie Layer und Profile für Benutzerpersonalisierung konfigurieren. Befolgen Sie die Anweisungen für Deployment von Benutzer-Personalisierungsschichten und Kurzanleitung zur Profilverwaltung. Verwenden Sie den in Schritt 4 beschriebenen UNC-Pfad für den User Layer Repository-Pfad.