Citrix DaaS

创建加入了混合 Azure Active Directory 的目录

注意:

自 2023 年 7 月起,Microsoft 已将 Azure Active Directory (Azure AD) 重命名为 Microsoft Entra ID。在本文档中,任何提及 Azure Active Directory、Azure AD 或 AAD 的内容现在均指 Microsoft Entra ID。

本文介绍如何使用 Citrix DaaS 创建已加入混合 Azure Active Directory (AD) 的目录。

可以使用 Studio 或 PowerShell 创建加入了 Azure AD 的目录。

有关要求、限制和注意事项的信息,请参阅加入了混合 Azure Active Directory

使用 Studio

以下信息用于补充创建计算机目录中的指导信息。要创建加入了混合 Azure AD 的目录,请遵循该文章中的常规指南,注意加入了混合 Azure AD 的目录特定的详细信息。

在目录创建向导中执行以下操作:

  • 计算机标识页面上,选择加入了混合 Azure Active Directory。创建的计算机归某个组织所有,并使用属于该组织的 Active Directory 域服务帐户登录。它们存在于云端和本地。

注意:

如果您选择加入了混合 Azure Active Directory 作为标识类型,则目录中的每台计算机都必须具有相应的 AD 计算机帐户。

使用 PowerShell

下面是等同于 Studio 中的操作的 PowerShell 步骤。

本地加入了 AD 的目录与加入了混合 Azure AD 的目录之间的区别在于标识池和计算机帐户的创建。

要创建标识池以及加入了混合 Azure AD 的目录的帐户,请执行以下操作:

New-AcctIdentityPool -AllowUnicode -IdentityType "HybridAzureAD" -Domain "corp.local" -IdentityPoolName "HybridAADJoinedCatalog" -NamingScheme "HybridAAD-VM-##" -NamingSchemeType "Numeric" -OU "CN=AADComputers,DC=corp,DC=local" -Scope @() -ZoneUid "81291221-d2f2-49d2-ab12-bae5bbd0df05"
New-AcctADAccount -IdentityPoolName "HybridAADJoinedCatalog" -Count 10 -ADUserName "corp\admin1" -ADPassword $password
Set-AcctAdAccountUserCert -IdentityPoolName "HybridAADJoinedCatalog" -All -ADUserName "corp\admin1" -ADPassword $password
<!--NeedCopy-->

注意:

$password 是具有写入权限的 AD 用户帐户的匹配密码。

用于创建加入了混合 Azure AD 的目录的所有其他命令与加入了传统本地 AD 的目录的命令相同。

查看混合 Azure AD 加入过程的状态

在 Studio 中,当交付组中加入了混合 Azure AD 的计算机处于开机状态时,混合 Azure AD 加入过程的状态可见。要查看状态,请使用搜索来识别这些计算机,然后在下方窗格中的详细信息选项卡上为每台计算机选中计算机标识计算机标识中可能显示以下信息:

  • 加入了混合 Azure AD
  • 尚未加入 Azure AD

注意:

  • 计算机首次打开电源时,您可能会遇到混合 Azure AD 加入延迟的情况。这是由默认的计算机标识同步时间间隔(Azure AD Connect 为 30 分钟)引起的。只有在通过 Azure AD Connect 将计算机标识同步到 Azure AD 之后,计算机才处于加入了混合 Azure AD 状态。
  • 如果计算机无法进入加入了混合 Azure AD 状态,则不会在 Delivery Controller 中注册。其注册状态显示为初始化

此外,使用 Studio,您可以了解计算机不可用的原因。为此,请在搜索节点上单击计算机,在下方窗格中的详细信息选项卡上选中注册,然后阅读工具提示以获取更多信息。

故障排除

如果计算机无法加入了混合 Azure AD,请执行以下操作:

  • 检查计算机帐户是否已通过 Microsoft Azure AD 门户同步到 Azure AD。如果已同步,则会出现尚未加入 Azure AD,表示待注册状态。

    要将计算机帐户同步到 Azure AD,请确保:

    • 计算机帐户位于配置为与 Azure AD 同步的 OU 中。没有 userCertificate 属性的计算机帐户不会同步到 Azure AD,即使它们位于配置为同步的 OU 中亦如此。
    • userCertificate 属性填充到计算机帐户中。使用 Active Directory Explorer 查看该属性。
    • 创建计算机帐户后,Azure AD Connect 必须至少同步过一次。如果未同步,请在 Azure AD Connect 计算机的 PowerShell 控制台中手动运行 Start-ADSyncSyncCycle -PolicyType Delta 命令以触发即时同步。
  • 通过查询 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\CitrixDeviceKeyPairRestored 的值,检查混合 Azure AD 加入的 Citrix 托管设备密钥对是否已正确推送到计算机。

    验证该值是否为 1。如果不是,可能的原因如下:

    • 与预配方案关联的标识池的 IdentityType 未设置为 HybridAzureAD。可以通过运行 Get-AcctIdentityPool 来验证这一点。
    • 未使用与计算机目录相同的预配方案预配计算机。
    • 计算机未加入本地域。加入的本地域是混合 Azure AD 加入的必备条件。
  • 通过在 MCS 预配的计算机上运行 dsregcmd /status /debug 命令来检查诊断消息。

    • 如果混合 Azure AD 加入成功,AzureAdJoinedDomainJoined 在命令行输出中为 YES
    • 如果不成功,请参阅 Microsoft 文档来解决以下问题:https://docs.microsoft.com/en-us/azure/active-directory/devices/troubleshoot-hybrid-join-windows-current
    • 如果您收到错误消息 Server Message: The user certificate is not found on the device with id: xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx(服务器消息: 在以下 ID 的设备上找不到用户证书: xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx),然后运行以下 PowerShell 命令以修复用户证书:

       Repair-AcctIdentity -IdentityAccountName TEST\VM1 -Target UserCertificate
       <!--NeedCopy-->
      

有关用户证书问题的详细信息,请参阅 CTX566696

创建加入了混合 Azure Active Directory 的目录