产品文档
Citrix DaaS
查看 PDF

创建加入了 Azure Active Directory 的目录

December 19, 2022
投稿者: 
C

本文介绍如何使用 Citrix DaaS 创建 Azure Active Directory (AD) 加入的目录。

有关要求、限制和注意事项的信息,请参阅已加入 Azure Active Directory

在创建计算机目录之前,需要满足以下条件:

  1. 新资源位置
    • 导航到 Citrix Cloud 管理员 UI > 左上角的汉堡菜单 > Resource Locations(资源位置)。
    • 单击 + 资源位置
    • 输入新资源位置的名称,然后单击保存
  2. 创建主机连接。有关详细信息,请参阅创建和管理连接部分。在 Azure 上部署计算机时,请参阅连接到 Azure Resource Manager

您可以使用完整配置界面或 PowerShell 创建加入 Azure AD 的目录。

使用“完整配置”界面

以下信息用于补充创建计算机目录中的指导信息。若要创建加入 Azure AD 的目录,请遵循该文章中的一般指导,注意特定于 Azure AD 加入的目录的详细信息。

在目录创建向导中执行以下操作:

  1. 在“主映像”页面上:
    • 选择 2106 或更高版本作为功能级别。
    • 选择“使用计算机配置文件”,然后从列表中选择相应的计算机。

  2. 在“计算机标识”页面上,选择“已加入 Azure Active Directory”。创建的计算机归某个组织所有,并使用属于该组织的 Azure AD 帐户登录。它们只存在于云中。

    注意:

    • 已加入 Azure Active Directory 标识类型要求将 2106 或更高版本作为目录的最低功能级别。
    • 计算机已加入与主机连接绑定到的租户关联的 Azure AD 域。
  3. 必须授予用户在 Azure 中的显式访问权限,才能使用其 AAD 凭据登录计算机。有关更多详细信息,请参阅已加入 Azure Active Directory 部分。

使用 PowerShell

以下是相当于完全配置中的操作的 PowerShell 步骤。有关如何使用远程 PowerShell SDK 创建目录的信息,请参阅 https://developer-docs.citrix.com/projects/citrix-virtual-apps-desktops-sdk/en/latest/creating-a-catalog/

本地 AD 加入目录和加入 Azure AD 的目录之间的区别在于身份池的创建和置备方案。

要为 Azure AD 加入的目录创建身份池,请执行以下操作:

New-AcctIdentityPool -AllowUnicode -IdentityType="AzureAD" -WorkgroupMachine -IdentityPoolName "AzureADJoinedCatalog" -NamingScheme "AzureAD-VM-##" -NamingSchemeType "Numeric" -Scope @() -ZoneUid "81291221-d2f2-49d2-ab12-bae5bbd0df05"
<!--NeedCopy-->

要为加入 Azure AD 的目录创建置备方案,需要在 New-ProvScheme 中使用 MachineProfile 参数:

New-ProvScheme -CustomProperties "<CustomProperties xmlns=`"http://schemas.citrix.com/2014/xd/machinecreation`" xmlns:xsi=`"http://www.w3.org/2001/XMLSchema-instance`"><Property xsi:type=`"StringProperty`" Name=`"UseManagedDisks`" Value=`"true`" /><Property xsi:type=`"StringProperty`" Name=`"StorageType`" Value=`"StandardSSD_LRS`" /><Property xsi:type=`"StringProperty`" Name=`"LicenseType`" Value=`"Windows_Server`" /></CustomProperties>" -HostingUnitName "AzureResource" -IdentityPoolName "AzureADJoinedCatalog" -InitialBatchSizeHint 1 -MachineProfile "XDHyp:\HostingUnits\AzureResource\image.folder\azuread-rg.resourcegroup\MasterVDA.vm" -MasterImageVM "XDHyp:\HostingUnits\AzureResource\image.folder\azuread-rg.resourcegroup\azuread-small_OsDisk_1_5fb42fadf7ff460bb301ee0d56ea30da.manageddisk" -NetworkMapping @{"0"="XDHyp:\HostingUnits\AzureResource\virtualprivatecloud.folder\East US.region\virtualprivatecloud.folder\azuread-rg.resourcegroup\azuread-vnet.virtualprivatecloud\Test_VNET.network"} -ProvisioningSchemeName "AzureADJoinedCatalog" -RunAsynchronously -Scope @() -SecurityGroup @() -ServiceOffering "XDHyp:\HostingUnits\AzureResource\serviceoffering.folder\Standard_DS1_v2.serviceoffering"
<!--NeedCopy-->

用于创建 Azure AD 联接目录的所有其他命令与用于传统本地 AD 联接目录的命令相同。

查看 Azure AD 加入过程的状态

在“完整配置”界面中,当交付组中加入 Azure AD 的计算机处于开机状态时,Azure AD 加入进程的状态将可见。要查看状态,请使用搜索来标识这些计算机,然后在下部窗格的详细信息选项卡上为每台选中计算机标识计算机标识中可能显示以下信息:

  • Azure AD 已加入
  • 尚未加入 Azure AD

注意:

如果计算机未能处于 Azure AD 加入状态,则它们不会向Delivery Controller 注册。它们的注册状态显示为“初始化”。

此外,使用完整配置界面,您可以了解计算机不可用的原因。为此,请单击搜索节点上的计算机,在下部窗格的详细信息选项卡上选中注册,然后阅读工具提示以获取其他信息。

交付组

有关详细信息,请参阅 创建交付组 部分。

启用 Rendezvous

创建交付组后,您可以启用 Rendezvous。有关详细信息,请参阅 Rendezvous V2

故障排除

如果计算机无法加入 Azure AD,请执行以下操作:

  • 检查是否为计算机启用了系统分配的托管身份。MCS 配置的计算机必须自动启用此功能。如果没有系统分配托管身份,Azure AD 加入过程将失败。如果未为 MCS 配置的计算机启用系统分配的托管身份,则可能的原因是:

    • 与预配方案关联的身份池的 IdentityType 未设置为 AzureAD。可以通过运行 Get-AcctIdentityPool 来验证这一点。

  • 检查计算机的 AADLoginForWindows 扩展程序的预配状态。MCS 依靠此扩展将虚拟机加入 Azure AD。如果 AADLoginForWindows 扩展程序不存在,可能的原因如下:

    • 与预配方案关联的身份池的 IdentityType 未设置为 AzureAD。可以通过运行 Get-AcctIdentityPool 来验证这一点。

    • AADLoginForWindows 扩展程序的安装被 Azure 策略阻止。

  • 要对 AADLoginForWindows 扩展程序配置失败进行故障排除,您可以在 MCS 配置的计算机上查看 C:\WindowsAzure\Logs\Plugins\Microsoft.Azure.ActiveDirectory.AADLoginForWindows 下的日志。

  • 通过在 MCS 配置的计算机上运行 dsregcmd /status /debug 命令来检查 Azure AD 加入状态和调试日志。

  • 在“应用程序和服务日志”>“Microsoft”>“Windows”>“用户设备注册”下查看 Windows 事件日志。

创建加入了 Azure Active Directory 的目录
December 19, 2022
投稿者: 
C
December 19, 2022
投稿者: 
C

在本文中

站点反馈 | 隐私和法律条款 | Cookie 首选项 | 同意设置
© 1999- Cloud Software Group, Inc. All rights reserved.