FSLogix-profiltároló beállítása az Azure Files és a Active Directory tartományi szolgáltatások vagy a Microsoft Entra Domain Services használatával

Ez a cikk bemutatja, hogyan állíthatja be az FSLogix-profiltárolót az Azure Files használatával, amikor a munkamenetgazda virtuális gépek (VM-ek) Active Directory tartományi szolgáltatások (AD DS) tartományhoz vagy Felügyelt Microsoft Entra Domain Services-tartományhoz csatlakoznak.

Előfeltételek

A következőkre lesz szüksége:

• Egy gazdagépkészlet, amelyben a munkamenet-gazdagépek egy AD DS-tartományhoz vagy a Microsoft Entra Domain Services által felügyelt tartományhoz csatlakoznak, és a felhasználók hozzá vannak rendelve.
• A tartomány azon biztonsági csoportja, amely a profiltárolót használó felhasználókat tartalmazza. Ha AD DS-t használ, ezt szinkronizálni kell a Microsoft Entra-azonosítóval.
• Azure-előfizetésének engedélye tárfiók létrehozására és szerepkör-hozzárendelések hozzáadására.
• Tartományfiók, amely számítógépek tartományhoz való csatlakoztatásához és emelt szintű PowerShell-parancssor megnyitásához használható.
• Annak az Azure-előfizetésnek az előfizetés-azonosítója, ahol a tárfiókja lesz.
• A tartományhoz csatlakoztatott számítógép powerShell-modulok telepítéséhez és futtatásához, amelyek egy tárfiókhoz csatlakoznak a tartományhoz. Ennek az eszköznek a Windows támogatott verzióját kell futtatnia. Másik lehetőségként használhat munkamenet-gazdagépet is.

Fontos

Ha a felhasználók korábban bejelentkeztek a használni kívánt munkamenet-gazdagépekre, a rendszer helyi profilokat hoz létre számukra, és először egy rendszergazdának kell törölnie, hogy profilja egy profiltárolóban legyen tárolva.

Tárfiók beállítása profiltárolóhoz

Tárfiók beállítása:

1. Jelentkezzen be az Azure Portalra.

2. Tárfiókok keresése a keresősávon.

3. Válassza a +Létrehozás lehetőséget.

4. Adja meg a következő adatokat a Tárfiók létrehozása lap Alapszintű beállítások lapján:

   • Hozzon létre egy új erőforráscsoportot, vagy válasszon ki egy meglévőt a tárfiók tárolásához.
   • Adja meg a tárfiók egyedi nevét. A tárfiók nevének 3 és 24 karakter közöttinek kell lennie.
   • Régió esetén azt javasoljuk, hogy ugyanazt a helyet válassza, mint az Azure Virtual Desktop gazdagépkészletét.
   • A Teljesítmény beállításnál válassza a Standard elemet minimálisan.
   • Ha a Prémium teljesítményt választja, állítsa a Prémium fiók típusát Fájlmegosztások értékre.
   • Redundancia esetén válassza legalább a helyileg redundáns tárolást (LRS).
   • A többi lap alapértelmezett értékeit nem kell módosítani.

   Tipp.

   Előfordulhat, hogy a szervezetnek meg kell változtatnia ezeket az alapértelmezett beállításokat:

   • A Prémium verzió kiválasztása az IOPS-ra és a késésre vonatkozó követelményektől függ. További információkért tekintse meg az FSLogix-profiltárolók tárolási lehetőségeit az Azure Virtual Desktopban.
   • A Speciális lapon engedélyezni kell a tárfiókkulcs-hozzáférést.
   • A fennmaradó konfigurációs lehetőségekről további információt az Azure Files üzembe helyezésének tervezése című témakörben talál.

5. Válassza az Áttekintés + létrehozás lehetőséget. Tekintse át a paramétereket és a használni kívánt értékeket, majd válassza a Létrehozás lehetőséget.

6. A tárfiók létrehozása után válassza az Ugrás az erőforrásra lehetőséget.

7. Az Adattárolás szakaszban válassza a Fájlmegosztások lehetőséget.

8. Válassza a + Fájlmegosztás lehetőséget.

9. Adjon meg egy nevet( például profilokat), majd a réteghez válassza a Tranzakció optimalizálva lehetőséget.

A tárfiók csatlakoztatása az Active Directoryhoz

Ha Active Directory-fiókokat szeretne használni a fájlmegosztás megosztási engedélyéhez, engedélyeznie kell az AD DS-t vagy a Microsoft Entra Domain Servicest forrásként. Ez a folyamat csatlakoztatja a tárfiókot egy tartományhoz, amely számítógépfiókként jelöli azt. Válassza ki az alábbi megfelelő lapot a forgatókönyvhöz, és kövesse a lépéseket.

AD DS

1. Jelentkezzen be az AD DS-tartományhoz csatlakoztatott számítógépre. Másik lehetőségként jelentkezzen be az egyik munkamenet-gazdagépre.

2. Töltse le és bontsa ki az AzFilesHybrid legújabb verzióját az Azure Files-minták GitHub-adattárából. Jegyezze fel azt a mappát, amelybe kibontja a fájlokat.

3. Nyisson meg egy emelt szintű PowerShell-kérést, és váltson arra a könyvtárra, ahol kibontotta a fájlokat.

4. Futtassa a következő parancsot a AzFilesHybrid modul hozzáadásához a felhasználó PowerShell-moduljainak könyvtárához:

   .\CopyToPSPath.ps1
   

5. Importálja a modult AzFilesHybrid a következő parancs futtatásával:

   Import-Module -Name AzFilesHybrid
   

   Fontos

   Ehhez a modulhoz a PowerShell-galéria és az Azure PowerShell szükséges. Előfordulhat, hogy a rendszer kérni fogja a telepítést, ha még nincs telepítve, vagy frissítenie kell őket. Ha ezekre kéri a rendszer, telepítse őket, majd zárja be a PowerShell összes példányát. A folytatás előtt nyisson meg újra egy emelt szintű PowerShell-parancssort, és importálja újra a AzFilesHybrid modult.

6. Jelentkezzen be az Azure-ba az alábbi parancs futtatásával. Olyan fiókot kell használnia, amely az alábbi szerepköralapú hozzáférés-vezérlési (RBAC-) szerepkörök egyikével rendelkezik:

   • Tárfiók tulajdonosa
   • Tulajdonos
   • Közreműködő

   Connect-AzAccount
   

   Tipp.

   Ha az Azure-fiókja több bérlőhöz és/vagy előfizetéshez is hozzáfér, a környezet beállításával ki kell választania a megfelelő előfizetést. További információ: Azure PowerShell-környezetobjektumok

7. Csatlakoztassa a tárfiókot a tartományhoz az alábbi parancsok futtatásával, és cserélje le az értékeket a , $resourceGroupNameés $storageAccountName az értékekre$subscriptionId. A paramétert -OrganizationalUnitDistinguishedName hozzáadhatja egy szervezeti egység (szervezeti egység) megadásához is, amelyben elhelyezheti a számítógépfiókot.

   $subscriptionId = "subscription-id"
   $resourceGroupName = "resource-group-name"
   $storageAccountName = "storage-account-name"
   
   Join-AzStorageAccount `
       -ResourceGroupName $ResourceGroupName `
       -StorageAccountName $StorageAccountName `
       -DomainAccountType "ComputerAccount"
   

8. Ha ellenőrizni szeretné, hogy a tárfiók csatlakozott-e a tartományhoz, futtassa az alábbi parancsokat, és tekintse át a kimenetet, és cserélje le az értékeket az értékekre$resourceGroupName:$storageAccountName

   $resourceGroupName = "resource-group-name"
   $storageAccountName = "storage-account-name"
   
   (Get-AzStorageAccount -ResourceGroupName $resourceGroupName -Name $storageAccountName).AzureFilesIdentityBasedAuth.DirectoryServiceOptions; (Get-AzStorageAccount -ResourceGroupName $resourceGroupName -Name $storageAccountName).AzureFilesIdentityBasedAuth.ActiveDirectoryProperties
   

Fontos

Ha a tartomány a jelszó lejáratát kényszeríti ki, frissítenie kell a jelszót, mielőtt lejár, hogy megakadályozza a hitelesítési hibákat az Azure-fájlmegosztások elérésekor. További információ: A tárfiók identitásjelszójának frissítése az AD DS-ben .

Microsoft Entra Domain Services

1. Az Azure Portalon nyissa meg a korábban létrehozott tárfiókot.

2. Az Adattárolás szakaszban válassza a Fájlmegosztások lehetőséget.

3. A lap fő szakaszában, az Active Directory mellett válassza a Nincs konfigurálva lehetőséget.

4. A Microsoft Entra Domain Services mezőjében válassza a Beállítás lehetőséget.

5. Jelölje be a jelölőnégyzetet a Microsoft Entra Domain Services engedélyezéséhez ehhez a fájlmegosztáshoz, majd válassza a Mentés lehetőséget. Létrejön egy AzureFilesConfig nevű szervezeti egység (OU) a tartomány gyökerénél, és egy, a tárfiókkal azonos nevű felhasználói fiók jön létre az adott szervezeti egységben. Ez a fiók lesz az Azure Files szolgáltatásfiókja.

RBAC-szerepkör hozzárendelése felhasználókhoz

A fájlmegosztásban profilokat tároló felhasználóknak engedélyre van szükségük a hozzáféréshez. Ehhez minden felhasználóhoz hozzá kell rendelnie a Storage-fájladatok SMB-megosztási közreműködői szerepkörét .

A felhasználók szerepkörének hozzárendelése:

1. Az Azure Portalon keresse meg a tárfiókot, majd a korábban létrehozott fájlmegosztást.

2. Válassza a Hozzáférés-vezérlés (IAM) lehetőséget.

3. Válassza a + Hozzáadás lehetőséget, majd a legördülő menüben válassza a Szerepkör-hozzárendelés hozzáadása lehetőséget.

4. Válassza ki a Storage-fájl adatainak SMB-megosztási közreműködője szerepkört, és válassza a Tovább lehetőséget.

5. A Tagok lapon válassza a Felhasználó, csoport vagy szolgáltatásnév, majd a +Tagok kijelölése lehetőséget. A keresősávon keresse meg és válassza ki a profiltárolót használó felhasználókat tartalmazó biztonsági csoportot.

6. Válassza az Áttekintés + hozzárendelés lehetőséget a hozzárendelés befejezéséhez.

NTFS-engedélyek beállítása

Ezután meg kell adnia az NTFS-engedélyeket a mappában, ami megköveteli a Storage-fiók hozzáférési kulcsának lekérését.

A Storage-fiók hozzáférési kulcsának lekérése:

1. Az Azure Portalon keresse meg és válassza ki a tárfiókot a keresősávon.

2. A tárfiókok listájában válassza ki azt a fiókot, amely Active Directory tartományi szolgáltatások vagy a Microsoft Entra Domain Servicest engedélyezte identitásforrásként, és az előző szakaszokban hozzárendelte az RBAC-szerepkört.

3. A Biztonság + hálózatkezelés területen válassza az Access-kulcsokat, majd a kulcs megjelenítése és másolása az 1. kulcsból.

A megfelelő NTFS-engedélyek beállítása a mappában:

1. Jelentkezzen be a gazdagépkészlet részét képező munkamenet-gazdagépre.

2. Nyisson meg egy emelt szintű PowerShell-parancssort, és futtassa az alábbi parancsot a tárfiók meghajtóként való leképezéséhez a munkamenet-gazdagépen. A megfeleltetett meghajtó nem jelenik meg a Fájlkezelő, de a net use paranccsal megtekinthető. Így beállíthatja a megosztásra vonatkozó engedélyeket.

   net use <desired-drive-letter>: \\<storage-account-name>.file.core.windows.net\<share-name> <storage-account-key> /user:Azure\<storage-account-name>
   

   • Cserélje le <desired-drive-letter> a kívánt meghajtóbetűjelre (például y:).
   • Cserélje le mindkét példányt <storage-account-name> a korábban megadott tárfiók nevére.
   • Cserélje le <share-name> a korábban létrehozott megosztás nevére.
   • Cserélje le <storage-account-key> az Azure-ból származó tárfiókkulcsra.

   Példa:

   net use y: \\fsprofile.file.core.windows.net\share HDZQRoFP2BBmoYQ(truncated)== /user:Azure\fsprofile
   

3. Futtassa az alábbi parancsokat a megosztásra vonatkozó engedélyek beállításához, amelyek lehetővé teszik, hogy az Azure Virtual Desktop felhasználói saját profilt hozzanak létre, miközben letiltják a hozzáférést más felhasználók profiljaihoz. Olyan Active Directory biztonsági csoportot kell használnia, amely tartalmazza a profiltárolót használni kívánt felhasználókat. Az alábbi parancsokban cserélje le <mounted-drive-letter> a meghajtó leképezéséhez használt meghajtó betűjelét, valamint <DOMAIN\GroupName> az Active Directory-csoport azon tartományát és sAMAccountName nevét, amely hozzáférést igényel a megosztáshoz. Megadhatja a felhasználó egyszerű nevét (UPN) is.

   icacls <mounted-drive-letter>: /grant "<DOMAIN\GroupName>:(M)"
   icacls <mounted-drive-letter>: /grant "Creator Owner:(OI)(CI)(IO)(M)"
   icacls <mounted-drive-letter>: /remove "Authenticated Users"
   icacls <mounted-drive-letter>: /remove "Builtin\Users"
   

   Példa:

   icacls y: /grant "CONTOSO\AVDUsers:(M)"
   icacls y: /grant "Creator Owner:(OI)(CI)(IO)(M)"
   icacls y: /remove "Authenticated Users"
   icacls y: /remove "Builtin\Users"
   

Munkamenet-gazdagépek konfigurálása a Profiltároló használatára

A Profiltároló használatához meg kell győződnie arról, hogy az FSLogix Apps telepítve van a munkamenetgazda virtuális gépeken. Az FSLogix Apps előre telepítve van a Windows 10 Enterprise több munkamenetes és Windows 11 Nagyvállalati verzió több munkamenetes operációs rendszerekben, de továbbra is kövesse az alábbi lépéseket, mivel előfordulhat, hogy nem a legújabb verzió van telepítve. Ha egyéni rendszerképet használ, telepítheti az FSLogix-alkalmazásokat a rendszerképbe.

A profiltároló konfigurálásához javasoljuk, hogy a csoportházirend beállításaival állítsa be a beállításkulcsokat és az értékeket nagy léptékben az összes munkamenet-gazdagépen. Ezeket az egyéni rendszerképben is beállíthatja.

Profiltároló konfigurálása a munkamenetgazda virtuális gépeken:

1. Jelentkezzen be az egyéni rendszerkép létrehozásához használt virtuális gépre vagy egy munkamenet-gazdagép virtuális gépére a gazdagépkészletből.

2. Ha telepítenie vagy frissítenie kell az FSLogix-alkalmazásokat, töltse le az FSLogix legújabb verzióját, és futtassaFSLogixAppsSetup.exe, majd kövesse a telepítővarázsló utasításait. A telepítési folyamatról, beleértve a testreszabásokat és a felügyelet nélküli telepítést, az FSLogix letöltésével és telepítésével kapcsolatos további információkért lásd : FSLogix.

3. Nyisson meg egy emelt szintű PowerShell-parancssort, és futtassa a következő parancsokat, és cserélje le \\<storage-account-name>.file.core.windows.net\<share-name> a korábban létrehozott tárfiók UNC elérési útjára. Ezek a parancsok engedélyezik a Profiltárolót, és konfigurálják a megosztás helyét.

   $regPath = "HKLM:\SOFTWARE\FSLogix\profiles"
   New-ItemProperty -Path $regPath -Name Enabled -PropertyType DWORD -Value 1 -Force
   New-ItemProperty -Path $regPath -Name VHDLocations -PropertyType MultiString -Value \\<storage-account-name>.file.core.windows.net\<share-name> -Force
   

4. Indítsa újra az egyéni rendszerkép vagy munkamenetgazda virtuális gép létrehozásához használt virtuális gépet. Ezeket a lépéseket minden fennmaradó munkamenetgazda virtuális gép esetében meg kell ismételnie.

Ezzel befejezte a profiltároló beállítását. Ha profiltárolót telepít az egyéni lemezképbe, be kell fejeznie az egyéni rendszerkép létrehozását. További információkért kövesse az Egyéni rendszerkép létrehozása az Azure-ban című szakasz lépéseit a Végső pillanatkép készítése című szakaszban.

Profillétrehozás ellenőrzése

Miután telepítette és konfigurálta a profiltárolót, tesztelheti az üzembe helyezést egy olyan felhasználói fiókkal való bejelentkezéssel, amely hozzárendelt egy alkalmazáscsoportot vagy asztalt a gazdagépkészlethez.

Ha a felhasználó korábban bejelentkezett, egy meglévő helyi profillal fog rendelkezni, amelyet a munkamenet során fog használni. Először törölje a helyi profilt, vagy hozzon létre egy új felhasználói fiókot a tesztekhez.

A felhasználók az alábbi lépések végrehajtásával ellenőrizhetik, hogy a profiltároló be van-e állítva:

1. Jelentkezzen be tesztfelhasználóként az Azure Virtual Desktopba.

2. Amikor a felhasználó bejelentkezik, a "Kérjük, várjon az FSLogix Apps Services szolgáltatásra" üzenetnek a bejelentkezési folyamat részeként kell megjelennie, mielőtt elérnék az asztalt.

A rendszergazdák az alábbi lépések végrehajtásával ellenőrizhetik, hogy a profilmappa létrejött-e:

1. Nyissa meg az Azure Portalt.

2. Nyissa meg a korábban létrehozott tárfiókot.

3. Nyissa meg a tárfiókBan található Adattár lehetőséget , majd válassza a Fájlmegosztások lehetőséget.

4. Nyissa meg a fájlmegosztást, és győződjön meg arról, hogy a létrehozott felhasználóiprofil-mappa benne van.

Következő lépések

Az FSlogix-profiltárolóval kapcsolatos fogalmakról részletesebb információkat talál az Azure Virtual Desktop felhasználóiprofil-kezelésében FSLogix-profiltárolókkal.