Citrix DaaS

创建已加入混合 Azure Active Directory 的目录

本文介绍如何使用 Citrix DaaS 创建已加入混合 Azure Active Directory (AD) 的目录。

您可以使用完整配置界面或 PowerShell 创建加入 Azure AD 的目录。

有关要求、限制和注意事项的信息,请参阅已加入混合 Azure Active Directory

使用“完整配置”界面

以下信息用于补充创建计算机目录中的指导信息。若要创建已加入混合 Azure AD 的目录,请遵循该文章中的一般指导,注意特定于已加入混合 Azure AD 的目录的详细信息。

在目录创建向导中执行以下操作:

  • 在“计算机标识”页面上,选择“已加入混合 Azure Active Directory”。创建的计算机归某个组织所有,并使用属于该组织的 Active Directory 域服务帐户登录。它们存在于云端和本地。

注意:

如果选择已加入混合 Azure Active Directory 作为标识类型,则目录中的每台计算机都必须具有相应的 AD 计算机帐户。

使用 PowerShell

以下是相当于完全配置中的操作的 PowerShell 步骤。有关如何使用远程 PowerShell SDK 创建目录的信息,请参阅 https://developer-docs.citrix.com/projects/citrix-virtual-apps-desktops-sdk/en/latest/creating-a-catalog/

本地已加入 AD 的目录和已加入混合 Azure AD 的目录之间的区别在于身份池和计算机帐户的创建。

要创建身份池以及已加入混合 Azure AD 的目录的帐户,请执行以下操作:

New-AcctIdentityPool -AllowUnicode -IdentityType="HybridAzureAD" -Domain "corp.local" -IdentityPoolName "HybridAADJoinedCatalog" -NamingScheme "HybridAAD-VM-##" -NamingSchemeType "Numeric" -OU "CN=AADComputers,DC=corp,DC=local" -Scope @() -ZoneUid "81291221-d2f2-49d2-ab12-bae5bbd0df05"
New-AcctADAccount -IdentityPoolName "HybridAADJoinedCatalog" -Count 10 -ADUserName "corp\admin1" -ADPassword $password
Set-AcctAdAccountUserCert -IdentityPoolName "HybridAADJoinedCatalog" -All -ADUserName "corp\admin1" -ADPassword $password
<!--NeedCopy-->

注意:

$password 是具有写入权限的 AD 用户帐户的匹配密码。

用于创建已加入混合 Azure AD 的目录的所有其他命令与用于传统本地 AD 联接目录的命令相同。

查看混合 Azure AD 加入进程的状态

在“完整配置”界面中,在交付组中已加入混合 Azure AD 的计算机处于开机状态时,已加入混合 Azure AD 的进程的状态将可见。要查看状态,请使用搜索来标识这些计算机,然后在下部窗格的详细信息选项卡上为每台选中计算机标识计算机标识中可能显示以下信息:

  • 已加入混合 Azure AD
  • 尚未加入 Azure AD

注意:

  • 计算机最初开机时,您可能会遇到混合 Azure AD 加入延迟的情况。这是由默认的计算机标识同步间隔(Azure AD 连接的 30 分钟)造成的。只有在计算机标识通过 Azure AD Connect 同步到 Azure AD 之后,计算机才处于已加入混合 Azure AD 的状态。
  • 如果计算机无法处于已加入混合 Azure AD 的状态,则它们不会在 Delivery Controller 中注册。它们的注册状态显示为 初始化

此外,使用完整配置界面,您可以了解计算机不可用的原因。为此,请单击搜索节点上的计算机,在下部窗格的详细信息选项卡上选中注册,然后阅读工具提示以获取其他信息。

故障排除

如果计算机无法处于已加入混合 Azure AD 的状态,请执行以下操作:

  • 检查计算机帐户是否已通过 Microsoft Azure AD 门户同步到 Azure AD。如果已同步,则会显示“尚未加入 Azure AD”,表示注册状态待定。

    要将计算机帐户同步到 Azure AD,请确保:

    • 计算机帐户位于配置为与 Azure AD 同步的 OU 中。没有 userCertificate 属性的计算机帐户不会同步到 Azure AD,即使它们位于配置为同步的 OU 中。
    • userCertificate 属性将填充到计算机帐户中。使用 Active Directory Explorer 查看属性。
    • 创建计算机帐户后,Azure AD 连接必须至少同步一次。如果不是,请在 Azure AD Connect 计算机的 PowerShell 控制台中手动运行 Start-ADSyncSyncCycle -PolicyType Delta 命令以触发即时同步。
  • 通过在 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Citrix 下查询 DeviceKeyPairRestored 的值,检查已加入混合 Azure AD 的 Citrix 托管设备密钥对是否正确推送到计算机

    验证该值是否为 1。如果没有,可能的原因是:

    • 与预配方案关联的身份池的 IdentityType 未设置为 HybridAzureAD。可以通过运行 Get-AcctIdentityPool 来验证这一点。
    • 未使用与计算机目录相同的置备方案置备计算机。
    • 计算机未加入本地域。加入本地域是混合 Azure AD 加入的先决条件。
  • 通过在 MCS 配置的计算机上运行 dsregcmd /status /debug 命令来检查诊断消息。

    如果混合 Azure AD 加入成功,则命令行输出中的 AzureAdJoinedDomainJoinedYES

    如果不, 请参阅 Microsoft 文档以解决问题:https://docs.microsoft.com/en-us/azure/active-directory/devices/troubleshoot-hybrid-join-windows-current

创建已加入混合 Azure Active Directory 的目录