إعداد حاوية ملف تعريف FSLogix باستخدام ملفات Azure وملفات خدمات مجال Active Directory أو خدمات مجال Microsoft Entra

ستوضح لك هذه المقالة كيفية إعداد حاوية ملف تعريف FSLogix مع ملفات Azure عند ربط الأجهزة الظاهرية لمضيف الجلسة (VMs) بمجال خدمات مجال Active Directory (AD DS) أو المجال المدار ل Microsoft Entra Domain Services.

المتطلبات الأساسية

ستحتاج إلى ما يلي:

• تجمع مضيف حيث يتم ضم مضيفي الجلسة إلى مجال AD DS أو المجال المدار ل Microsoft Entra Domain Services ويتم تعيين المستخدمين.
• مجموعة أمان في مجالك تحتوي على المستخدمين الذين سيستخدمون حاوية ملف التعريف. إذا كنت تستخدم AD DS، فيجب مزامنة هذا مع معرف Microsoft Entra.
• إذن على اشتراك Azure الخاص بك لإنشاء حساب تخزين وإضافة تعيينات الأدوار.
• حساب مجال لضم أجهزة الكمبيوتر إلى المجال وفتح موجه PowerShell غير مقيد.
• معرف الاشتراك لاشتراك Azure حيث سيكون حساب التخزين الخاص بك.
• كمبيوتر انضم إلى مجالك لتثبيت وحدات PowerShell النمطية وتشغيلها والتي ستنضم إلى حساب تخزين إلى مجالك. سيحتاج هذا الجهاز إلى تشغيل إصدار مدعوم من Windows. بدلاً من ذلك، يمكنك استخدام مضيف جلسة عمل.

هام

إذا قام المستخدمون بتسجيل الدخول مسبقًا إلى مضيفي الجلسة الذين تريد استخدامهم ، فسيتم إنشاء ملفات التعريف المحلية لهم ويجب حذفها أولاً بواسطة المسؤول ليتم تخزين ملف التعريف الخاص بهم في حاوية ملف التعريف.

إعداد حساب تخزين لحاوية ملف التعريف

إعداد حساب تخزين:

1. قم بتسجيل الدخول إلى بوابة Azure.

2. ابحث عن Storage accounts في شريط البحث.

3. حدد + إنشاء.

4. أدخل المعلومات التالية في علامة التبويب Basics في صفحة Create storage account :

   • أنشئ مجموعة موارد جديدة أو حدد مجموعة موجودة لتخزين حساب التخزين فيها.
   • أدخل اسمًا فريداً لحساب التخزين الخاص بك. يجب أن يتراوح اسم حساب التخزين هذا بين 3 و24 حرفًا.
   • بالنسبة للموقع، نوصي باختيار نفس موقع تجمع مضيف Azure Virtual Desktop.
   • في Performance، حدد Standard.
   • إذا حددت Premium performance، فقم بتعيين نوع حساب Premium إلى File shares.
   • في Redundancy، حدد Locally-redundant storage (LRS) كحد أدنى.
   • لا يلزم تغيير الإعدادات الافتراضية في علامات التبويب المتبقية.

   تلميح

   قد يكون لدى مؤسستك متطلبات لتغيير هذه الإعدادات الافتراضية:

   • يعتمد تحديد Premium على متطلبات IOPS وزمن الانتقال. لمزيد من المعلومات، راجع خيارات التخزين لحاويات ملف تعريف FSLogix في Azure Virtual Desktop.
   • في علامة التبويب Advanced، يجب ترك Enable storage account key access ممكنًا.
   • لمزيد من المعلومات حول خيارات التكوين المتبقية، راجع التخطيط لنشر Azure Files.

5. حدد "Review + create". راجع المعلمات والقيم التي سيتم استخدامها، ثم حدد Create.

6. بمجرد إنشاء حساب التخزين، قم بتحديدGo to resource:

7. في القسم Data Storage، حدد File shares.

8. اختر + File share.

9. أدخل Name، مثل ملفات التعريف، ثم للمستوى حدد Transaction optimized.

انضم إلى حساب التخزين الخاص بك إلى Active Directory

لاستخدام حسابات Active Directory لأذونات المشاركة لمشاركة الملف، تحتاج إلى تمكين AD DS أو Microsoft Entra Domain Services كمصدر. تنضم هذه العملية إلى حساب التخزين الخاص بك إلى مجال، ما يمثله كحساب كمبيوتر. حدد علامة التبويب ذات الصلة أدناه للسيناريو الخاص بك واتبع الخطوات.

AD DS

1. سجل الدخول إلى كمبيوتر مرتبط بمجال AD DS. بدلاً من ذلك، سجل الدخول إلى أحد مضيفي الجلسة.

2. قم بتنزيل واستخراج أحدث إصدار من AzFilesHybrid من مستودع GitHub لعينات Azure Files. دوّن ملاحظة عن المجلد الذي تستخرج الملفات إليه.

3. افتح موجه PowerShell غير مقيد وقم بالتغيير إلى الدليل حيث قمت باستخراج الملفات.

4. قم بتشغيل الأمر التالي لإضافة الوحدة النمطية AzFilesHybrid إلى دليل وحدات PowerShell النمطية للمستخدم:

   .\CopyToPSPath.ps1
   

5. استيراد الوحدة النمطية AzFilesHybrid عن طريق تشغيل الأمر التالي:

   Import-Module -Name AzFilesHybrid
   

   هام

   تتطلب هذه الوحدة معرض PowerShell وAzure PowerShell. قد تتم مطالبتك بتثبيتها إذا لم تكن مثبتة بالفعل أو إذا كانت بحاجة إلى التحديث. إذا تمت مطالبتك بذلك، فقم بتثبيتها، ثم أغلق جميع مثيلات PowerShell. أعد فتح موجه PowerShell غير مقيد واستورد الوحدة النمطية AzFilesHybrid مرة أخرى قبل المتابعة.

6. قم بتسجيل الدخول إلى Azure عن طريق تشغيل الأمر أدناه. ستحتاج إلى استخدام حساب له أحد أدوار التحكم في الوصول المستندة إلى الدور (RBAC) التالية:

   • مالك حساب التخزين
   • مالك
   • مساهم

   Connect-AzAccount
   

   تلميح

   إذا كان حساب Azure الخاص بك لديه حق الوصول إلى عدة مستأجرين و/أو اشتراكات، فستحتاج إلى تحديد الاشتراك الصحيح عن طريق تعيين السياق الخاص بك. لمزيد من المعلومات، راجع عناصر سياق Azure PowerShell

7. انضم إلى حساب التخزين إلى مجالك عن طريق تشغيل الأوامر أدناه، واستبدال القيم لـ $subscriptionId، و$resourceGroupName، و$storageAccountName بالقيم الخاصة بك. يمكنك أيضا إضافة المعلمة -OrganizationalUnitDistinguishedName لتحديد وحدة تنظيمية (OU) لوضع حساب الكمبيوتر فيها.

   $subscriptionId = "subscription-id"
   $resourceGroupName = "resource-group-name"
   $storageAccountName = "storage-account-name"
   
   Join-AzStorageAccount `
       -ResourceGroupName $ResourceGroupName `
       -StorageAccountName $StorageAccountName `
       -DomainAccountType "ComputerAccount"
   

8. للتحقق من انضمام حساب التخزين إلى مجالك، قم بتشغيل الأوامر أدناه ومراجعة الإخراج، واستبدال القيم لـ $resourceGroupName و$storageAccountName بالقيم الخاصة بك:

   $resourceGroupName = "resource-group-name"
   $storageAccountName = "storage-account-name"
   
   (Get-AzStorageAccount -ResourceGroupName $resourceGroupName -Name $storageAccountName).AzureFilesIdentityBasedAuth.DirectoryServiceOptions; (Get-AzStorageAccount -ResourceGroupName $resourceGroupName -Name $storageAccountName).AzureFilesIdentityBasedAuth.ActiveDirectoryProperties
   

هام

إذا فرضت المجال الخاصة بك انتهاء صلاحية كلمة المرور، فيجب عليك تحديث كلمة المرور قبل أن تنتهي صلاحيته لمنع فشل المصادقة عند الوصول إلى مشاركات Azure Files. لمزيد من المعلومات، راجع تحديث كلمة المرور لهوية حساب التخزين في AD DS للحصول على التفاصيل.

Microsoft Entra Domain Services

1. من مدخل Microsoft Azure، افتح حساب التخزين الذي قمت بإنشائه مسبقًا.

2. في القسم Data Storage، حدد File shares.

3. في القسم الرئيسي من الصفحة، بجوار Active Directory، حدد Not configured.

4. في مربع Microsoft Entra Domain Services، حدد Set up.

5. حدد المربع لتمكين Microsoft Entra Domain Services لمشاركة الملف هذه، ثم حدد Save. سيتم إنشاء وحدة تنظيمية (OU) تسمى AzureFilesConfig في جذر مجالك وسيتم إنشاء حساب مستخدم يسمى نفس حساب التخزين في الوحدة التنظيمية هذه. سيتم استخدام هذا الحساب كحساب خدمة Azure Files.

تعيين دور RBAC للمستخدمين

سيحتاج المستخدمون الذين يحتاجون إلى تخزين ملفات التعريف في مشاركة الملفات إلى إذن للوصول إليها. للقيام بذلك، ستحتاج إلى تعيين دور مساهم مشاركة بيانات ملف التخزين SMB لكل مستخدم.

لتعيين دور للمستخدمين:

1. من مدخل Microsoft Azure، استعرض للوصول إلى حساب التخزين، ثم إلى مشاركة الملف الذي أنشأته مسبقا.

2. حدد Access control (IAM).

3. حدد الزر +Add، ثم حدد Add role assignment من القائمة المنسدلة.

4. حدد الدور Storage File Data SMB Share Contributor وحدد Next.

5. في علامة التبويب Members، حدد User, group, or service principal، ثم حدد +Select member. في شريط البحث، ابحث عن مجموعة الأمان التي تحتوي على المستخدمين الذين سيستخدمون حاوية ملف التعريف وحددها.

6. حدد Review + assign لإكمال التعيين.

تعيين أذونات NTFS

بعد ذلك، ستحتاج إلى تعيين أذونات NTFS على المجلد، ما يتطلب منك الحصول على مفتاح الوصول لحساب التخزين الخاص بك.

للحصول على مفتاح الوصول إلى حساب التخزين:

1. في مدخل Microsoft Azure، ابحث عن storage account في شريط البحث وحددها.

2. من قائمة حسابات التخزين، حدد الحساب الذي قمت بتمكينه خدمات مجال Active Directory أو Microsoft Entra Domain Services كمصدر الهوية وتعيين دور RBAC في الأقسام السابقة.

3. ضمن Security + networking، حدد Access keys، ثم اعرض المفتاح وانسخه من key1.

لتعيين أذونات NTFS الصحيحة على المجلد:

1. سجل الدخول إلى مضيف جلسة عمل يشكل جزءا من تجمع المضيف.

2. افتح موجه PowerShell غير مقيد وقم بتشغيل الأمر أدناه لتعيين حساب التخزين كمحرك أقراص على مضيف جلسة العمل. لن يظهر محرك الأقراص المعين في مستكشف الملفات، ولكن يمكن عرضه باستخدام الأمر net use. هذا حتى تتمكن من تعيين الأذونات على المشاركة.

   net use <desired-drive-letter>: \\<storage-account-name>.file.core.windows.net\<share-name> <storage-account-key> /user:Azure\<storage-account-name>
   

   • استبدل <desired-drive-letter> بحرف محرك أقراص من اختيارك (على سبيل المثال، y:).
   • استبدل كلا المثيلين <storage-account-name> باسم حساب التخزين الذي حددته سابقا.
   • استبدل <share-name> باسم المشاركة التي أنشأتها سابقاً.
   • استبدل <storage-account-key> بمفتاح حساب التخزين من Azure.

   على سبيل المثال:

   net use y: \\fsprofile.file.core.windows.net\share HDZQRoFP2BBmoYQ(truncated)== /user:Azure\fsprofile
   

3. قم بتشغيل الأوامر التالية لتعيين الأذونات على المشاركة التي تسمح لمستخدمي Azure Virtual Desktop بإنشاء ملف التعريف الخاص بهم أثناء حظر الوصول إلى ملفات تعريف المستخدمين الآخرين. يجب استخدام مجموعة أمان Active Directory التي تحتوي على المستخدمين الذين تريد استخدام حاوية ملف التعريف. في الأوامر أدناه، استبدل <mounted-drive-letter> بحرف محرك الأقراص الذي استخدمته لتعيين محرك الأقراص والمجال <DOMAIN\GroupName> وsAMAccountName لمجموعة Active Directory التي تتطلب الوصول إلى المشاركة. يمكنك أيضا تحديد اسم المستخدم الأساسي (UPN) للمستخدم.

   icacls <mounted-drive-letter>: /grant "<DOMAIN\GroupName>:(M)"
   icacls <mounted-drive-letter>: /grant "Creator Owner:(OI)(CI)(IO)(M)"
   icacls <mounted-drive-letter>: /remove "Authenticated Users"
   icacls <mounted-drive-letter>: /remove "Builtin\Users"
   

   على سبيل المثال:

   icacls y: /grant "CONTOSO\AVDUsers:(M)"
   icacls y: /grant "Creator Owner:(OI)(CI)(IO)(M)"
   icacls y: /remove "Authenticated Users"
   icacls y: /remove "Builtin\Users"
   

تكوين مضيفي الجلسة لاستخدام حاوية ملف التعريف

لاستخدام حاوية ملف التعريف، ستحتاج إلى التأكد من تثبيت تطبيقات FSLogix على الأجهزة الظاهرية لمضيف الجلسة. يتم تثبيت تطبيقات FSLogix مسبقا في Windows 10 Enterprise أنظمة تشغيل متعددة الجلسات Windows 11 Enterprise، ولكن يجب عليك اتباع الخطوات أدناه حيث قد لا يكون أحدث إصدار مثبت عليها. إذا كنت تستخدم صورة مخصصة، يمكنك تثبيت تطبيقات FSLogix في صورتك.

لتكوين حاوية ملف التعريف، نوصي باستخدام تفضيلات نهج المجموعة لتعيين مفاتيح التسجيل والقيم على نطاق واسع عبر جميع مضيفي الجلسة. يمكنك أيضًا تعيين هذه في صورتك المخصصة.

لتكوين حاوية ملف التعريف على الأجهزة الظاهرية لمضيف الجلسة:

1. سجل الدخول إلى الجهاز الظاهري المستخدم لإنشاء صورتك المخصصة أو الجهاز الظاهري لمضيف جلسة العمل من تجمع المضيف.

2. إذا كنت بحاجة إلى تثبيت تطبيقات FSLogix أو تحديثها، فقم بتنزيل أحدث إصدار من FSLogix وتثبيته عن طريق تشغيل FSLogixAppsSetup.exe، ثم اتبع الإرشادات الموجودة في معالج الإعداد. لمزيد من التفاصيل حول عملية التثبيت، بما في ذلك التخصيصات والتثبيت غير المراقب، راجع تنزيل FSLogix وتثبيته.

3. افتح موجه PowerShell غير مقيد وقم بتشغيل الأوامر التالية، واستبدل \\<storage-account-name>.file.core.windows.net\<share-name> بمسار UNC إلى حساب التخزين الذي أنشأته سابقا. تمكن هذه الأوامر حاوية ملف التعريف وتكوين موقع المشاركة.

   $regPath = "HKLM:\SOFTWARE\FSLogix\profiles"
   New-ItemProperty -Path $regPath -Name Enabled -PropertyType DWORD -Value 1 -Force
   New-ItemProperty -Path $regPath -Name VHDLocations -PropertyType MultiString -Value \\<storage-account-name>.file.core.windows.net\<share-name> -Force
   

4. أعد تشغيل الجهاز الظاهري المستخدم لإنشاء صورتك المخصصة أو الجهاز الظاهري لمضيف جلسة العمل. ستحتاج إلى تكرار هذه الخطوات لأي أجهزة ظاهرية لمضيف جلسة العمل المتبقية.

لقد انتهيت الآن من إعداد حاوية ملف التعريف. إذا كنت تقوم بتثبيت حاوية ملف التعريف في صورتك المخصصة، فستحتاج إلى الانتهاء من إنشاء الصورة المخصصة. لمزيد من المعلومات، اتبع الخطوات في Create a custom image in Azure من القTake the final snapshot فصاعدًا.

التحقق من صحة إنشاء ملف التعريف

بمجرد تثبيت حاوية ملف التعريف وتكوينها، يمكنك اختبار التوزيع عن طريق تسجيل الدخول باستخدام حساب مستخدم تم تعيينه لمجموعة تطبيقات أو سطح مكتب على تجمع المضيف.

إذا قام المستخدم بتسجيل الدخول من قبل، فسيكون لديه ملف تعريف محلي موجود سيستخدمه أثناء هذه الجلسة. إما حذف ملف التعريف المحلي أولا، أو إنشاء حساب مستخدم جديد لاستخدامه في الاختبارات.

يمكن للمستخدمين التحقق من إعداد حاوية ملف التعريف باتباع الخطوات التالية:

1. سجل الدخول إلى Azure Virtual Desktop كمستخدم تجريبي.

2. عند تسجيل دخول المستخدم، يجب أن تظهر الرسالة "الرجاء الانتظار حتى FSLogix Apps Services" كجزء من عملية تسجيل الدخول، قبل الوصول إلى سطح المكتب.

يمكن للمسؤولين التحقق من إنشاء مجلد ملف التعريف باتباع الخطوات التالية:

1. افتح مدخل Azure.

2. افتح حساب التخزين الذي قمت بإنشائه مسبقًا.

3. انتقل إلى Data storage في حساب التخزين الخاص بك، ثم حدد File shares.

4. افتح مشاركة الملف وتأكد من وجود مجلد ملف تعريف المستخدم الذي قمت بإنشائه هناك.

الخطوات التالية

يمكنك العثور على مزيد من المعلومات التفصيلية حول المفاهيم المتعلقة بحاوية ملف تعريف FSlogix لـ Azure Files في حاوية ملف تعريف FSLogix لـ Azure Files.