部署指南:为 Citrix Profile Management和 Citrix 用户个性化层部署 Azure 文件

Azure Files 在云中提供完全托管的文件共享,可以使用服务器消息块 (SMB) 协议进行访问。Azure 文件共享可以同时在云端和本地、Windows、Linux 或 macOS 上挂载。

Azure 文件对本地 Active Directory 域服务身份验证的支持使 Citrix 用户个性化层和 Citrix Profile Management能够使用 Azure 文件。有关 Azure 文件共享的 Active Directory 域服务身份验证的详细信息,请参阅基于 SMB 的本地Active Directory 服务身份验证。本文介绍了如何设置 Azure 文件以与 Citrix 用户个性化层和 Citrix Profile Management一起使用。

要求

除了用户个性化层Profile Management 的要求外,Azure 文件还要求将本地域控制器同步到 Azure Active Directory。

概述

在设置用户个性化层或 Profile Management 之前,请使用以下步骤设置 Azure 文件:

  • 步骤 1:将 Azure AD 与内部部署 AD 同步
  • 步骤 2:创建 Azure 文件共享
  • 步骤 3:启用 Azure 文件 AD DS 身份验证
  • 步骤 4:分配共享级别和 NTFS 权限

步骤 1:将 Azure AD 与内部部署 AD 同步

要将 Azure 文件与 AD 身份验证结合使用, 请使用 Azure AD Connect 将本地广告与 Azure AD 同步

重要:

  • 用于用户个性化层或 Profile Management 的 Azure AD 租户和文件共享必须与同一订阅关联。
  • 正在使用的帐户必须在域控制器中创建并同步到 Azure AD。来自 Azure AD 的帐户不合适。

同步完成后,请给用户和组一些时间将用户和组复制到 Azure AD,然后再继续操作。

步骤 2:创建 Azure 文件共享

此过程说明如何创建用于存储用户图层和配置文件的 Azure 文件共享。

目前,Azure 文件有两个层次:标准和高级版。根据您的绩效要求选择合适的等级。有关 Azure 文件性能的详细信息,请参阅 Azure 文件可扩展性和性能目标

本文档将介绍如何设置标准存储作为示例。

  1. 打开 Azure 门户。
  2. 单击 创建资源
  3. 选择 存储帐户 — blob、文件、表、队列
  4. 创建存储帐户 页面中输入以下信息:
    • 对于 资源组,单击 新建
    • 对于 存储帐户,请输入唯一名称。
    • 对于 位置,我们建议您在 Azure 资源位置中选择与虚拟交付代理 (VDA) 相同的位置。
    • 对于 性能,请选择 标准。(示例选择)
    • 对于 帐户类型,请选择 StorageEv2
    • 对于 复制,请选择 本地冗余存储 (LRS)
  5. 完成后,选择“查看 + 创建”,然后选择“创建”。
  6. 置备存储帐户后,选择 转到资源
  7. 述页面上,选择 文件共享 磁贴。
  8. 选择 + 文件共享
    • 输入名 ,例如 上行文件夹
    • 输入适当的 配额,或者将该字段留空,以表示没有配额。
  9. 选择创建

有关设置 Standard 和 Premium Azure Files 的更多详细信息,请参阅以下文档: StandardPremium

有关更多详细信息,请参阅 创建 Azure 文件共享

步骤 3:启用 Azure 文件 AD 身份验证

按照本节中的说明启用 Azure 文件 AD 身份验证。您需要从任何已加入域的计算机上运行这些命令。此操作是一次性任务。任务完成后,解决方案不需要用于运行该过程的虚拟机。

  1. 使用远程桌面协议 (RDP) 连接到 加入域的 虚拟机。
  2. 要安装 azFilesHybri d 模块并启用身份验证,请按照为 Azure 文件共享启用 AD DS 身份验证中的说明进行操作。

在继续下一步之前,请按如下方式验证 Azure 文件 AD 身份验证是否已启用:

  1. 打开 Azure 门户。
  2. 打开与 Azure 文件关联的 存储帐户
  3. 设置下,选择 配置,然后确认 Active Directory (AD) 设置为 启用

步骤 4:分配共享级别和 NTFS 权限

在将用户个性化图层和配置文件分配给用户和组之前,请配置对 Azure 文件共享的适当访问权限。

重要事项:

必须在域中创建分配权限的帐户或组,并与 Azure AD 同步。不支持在 Azure AD 中创建的帐户。

为用户分配共享级别权限

以下部分介绍如何设置共享级别权限:

  1. 打开 Azure 门户。
  2. 打开您在 步骤 2 中创建的 存储帐户
  3. 选择 访问控制 (IAM)
  4. 选择 添加角色分配
  5. 添加角色分配选项卡中,为共享管理员帐户选择存储文件数据 SMB 共享提升的贡献者
  6. 然后, 为分配了用户个性化层和配置文件的用户或组选择存储文件数据 SMB 共享参与者。
  7. 选择保存

权限最多可能需要 30 分钟才能完全生效。在继续下一步之前,请给它一些时间。

有关详细信息,请参阅为 身份分配共享级别权限

在共享文件夹上配置 NTFS 权限

分配文件共享权限后,请配置 NTFS 权限。

要配置目录和文件级 NTFS 权限:

  1. 打开 Azure 门户。
  2. 打开您在步骤 3 中创建的 存储帐户
  3. 单击文件共享磁贴
  4. 单击您创建的共享名称,例如 uplshare
  5. 单击“属性”。
  6. 复制 URL 链接。
  7. 复制 URL 后,将其转换为 UNC 格式:
    • 删除 https://
    • 用反斜杠 \\ 替换所有正斜杠 //。例如:
      https://uplshare.file.core.windows.net/uplfolder 变成 \\uplshare.file.core.windows.net\uplfolder
  8. 使用 RDP 连接到已加入域的虚拟机。
  9. 打开命令提示符,然后运行以下 cmdlet 以挂载 Azure 文件共享并为其分配驱动器号: net use <drive-letter> UNC-path 示例:net use S: \\uplshare.file.core.windows.net\uplfolder
  10. 装载共享后,对已装载的共享设置以下权限。
设置名称 适用对象
创建者/所有者 修改 仅子文件夹和文件
所有者权利 修改 仅子文件夹和文件
用户或组: 创建 Folder/Append Data; Traverse Folder/Execute File; List Folder/Read Data; Read Attributes 仅限选定的文件夹
系统 完全控制 选定的文件夹、子文件夹和文件
域管理员和选定的管理员组 完全控制 选定的文件夹、子文件夹和文件

设置用户个性化层和配置文件

接下来,您可以配置用户个性化层和配置文件。按照 部署用户个性化层 的说明和 Profile Management 快速入门指南进行操作。使用 步骤 4 中描述的 UNC 路径作为用 户层存储库路径

部署指南:为 Citrix Profile Management和 Citrix 用户个性化层部署 Azure 文件