FSLogix-profielcontainer instellen met Azure Files en Active Directory-domein Services of Microsoft Entra Domain Services

In dit artikel wordt beschreven hoe u fsLogix-profielcontainer instelt met Azure Files wanneer uw sessiehost virtuele machines (VM's) zijn toegevoegd aan een Active Directory-domein Services-domein (AD DS) of door Microsoft Entra Domain Services beheerd domein.

Vereisten

U hebt het volgende nodig:

• Een hostgroep waaraan de sessiehosts worden toegevoegd aan een AD DS-domein of door Microsoft Entra Domain Services beheerd domein en gebruikers worden toegewezen.
• Een beveiligingsgroep in uw domein met de gebruikers die profielcontainer gebruiken. Als u AD DS gebruikt, moet dit worden gesynchroniseerd met Microsoft Entra-id.
• Machtiging voor uw Azure-abonnement om een opslagaccount te maken en roltoewijzingen toe te voegen.
• Een domeinaccount om computers aan het domein toe te voegen en een PowerShell-prompt met verhoogde bevoegdheid te openen.
• De abonnements-id van uw Azure-abonnement waarin uw opslagaccount zich bevindt.
• Een computer die is toegevoegd aan uw domein voor het installeren en uitvoeren van PowerShell-modules die een opslagaccount aan uw domein toevoegen. Op dit apparaat moet een ondersteunde versie van Windows worden uitgevoerd. U kunt ook een sessiehost gebruiken.

Belangrijk

Als gebruikers zich eerder hebben aangemeld bij de sessiehosts die u wilt gebruiken, zijn lokale profielen voor hen gemaakt en moeten ze eerst worden verwijderd door een beheerder om hun profiel op te slaan in een profielcontainer.

Een opslagaccount instellen voor profielcontainer

Een opslagaccount instellen:

1. Meld u aan bij het Azure-portaal.

2. Zoek naar Opslagaccounts in de zoekbalk.

3. Selecteer + Maken.

4. Voer de volgende informatie in op het tabblad Basisinformatie op de pagina Opslagaccount maken:

   • Maak een nieuwe resourcegroep of selecteer een bestaande resourcegroep waarin u het opslagaccount wilt opslaan.
   • Voer een unieke naam in voor het opslagaccount. Deze naam van het opslagaccount moet tussen 3 en 24 tekens zijn.
   • Voor Regio wordt u aangeraden dezelfde locatie te kiezen als de Azure Virtual Desktop-hostgroep.
   • Voor Prestaties selecteert u Standard als minimum.
   • Als u Premium-prestaties selecteert, stelt u het Premium-accounttype in op Bestandsshares.
   • Voor redundantie selecteert u lokaal redundante opslag (LRS) minimaal.
   • De standaardinstellingen op de resterende tabbladen hoeven niet te worden gewijzigd.

   Tip

   Uw organisatie heeft mogelijk vereisten om deze standaardinstellingen te wijzigen:

   • Of u Premium moet selecteren, is afhankelijk van uw IOPS- en latentievereisten. Zie Opslagopties voor FSLogix-profielcontainers in Azure Virtual Desktop voor meer informatie.
   • Op het tabblad Geavanceerd moet toegang tot opslagaccountsleutels zijn ingeschakeld.
   • Zie Planning voor een Azure Files-implementatie voor meer informatie over de resterende configuratieopties.

5. Selecteer Controleren + maken. Controleer de parameters en de waarden die worden gebruikt en selecteer vervolgens Maken.

6. Zodra het opslagaccount is gemaakt, selecteert u Ga naar de resource.

7. Selecteer bestandsshares in de sectie Gegevensopslag.

8. Selecteer + Bestandsshare.

9. Voer een naam in, zoals profielen, en selecteer vervolgens transactie geoptimaliseerd voor de laag.

Uw opslagaccount toevoegen aan Active Directory

Als u Active Directory-accounts wilt gebruiken voor de sharemachtigingen van uw bestandsshare, moet u AD DS of Microsoft Entra Domain Services inschakelen als bron. Dit proces koppelt uw opslagaccount aan een domein, dat het vertegenwoordigt als een computeraccount. Selecteer het relevante tabblad hieronder voor uw scenario en volg de stappen.

AD DS

1. Meld u aan bij een computer die is gekoppeld aan uw AD DS-domein. U kunt zich ook aanmelden bij een van uw sessiehosts.

2. Download en pak de nieuwste versie van AzFilesHybrid uit de GitHub-opslagplaats met Azure Files-voorbeelden. Noteer de map waarnaar u de bestanden extraheert.

3. Open een PowerShell-prompt met verhoogde bevoegdheid en ga naar de map waarin u de bestanden hebt uitgepakt.

4. Voer de volgende opdracht uit om de module toe te voegen aan de AzFilesHybrid map met PowerShell-modules van uw gebruiker:

   .\CopyToPSPath.ps1
   

5. Importeer de AzFilesHybrid module door de volgende opdracht uit te voeren:

   Import-Module -Name AzFilesHybrid
   

   Belangrijk

   Voor deze module zijn PowerShell Gallery en Azure PowerShell vereist. U wordt mogelijk gevraagd deze te installeren als ze nog niet zijn geïnstalleerd of als ze moeten worden bijgewerkt. Als u hierom wordt gevraagd, installeert u deze en sluit u alle exemplaren van PowerShell. Open een PowerShell-prompt met verhoogde bevoegdheid opnieuw en importeer de AzFilesHybrid module opnieuw voordat u doorgaat.

6. Meld u aan bij Azure door de onderstaande opdracht uit te voeren. U moet een account gebruiken met een van de volgende RBAC-rollen (op rollen gebaseerd toegangsbeheer):

   • Eigenaar van opslagaccount
   • Eigenaar
   • Inzender

   Connect-AzAccount
   

   Tip

   Als uw Azure-account toegang heeft tot meerdere tenants en/of abonnementen, moet u het juiste abonnement selecteren door uw context in te stellen. Zie Azure PowerShell-contextobjecten voor meer informatie

7. Voeg het opslagaccount toe aan uw domein door de onderstaande opdrachten uit te voeren, de waarden voor $subscriptionIden $resourceGroupName$storageAccountName uw waarden te vervangen. U kunt ook de parameter -OrganizationalUnitDistinguishedName toevoegen om een organisatie-eenheid (OE) op te geven waarin het computeraccount moet worden geplaatst.

   $subscriptionId = "subscription-id"
   $resourceGroupName = "resource-group-name"
   $storageAccountName = "storage-account-name"
   
   Join-AzStorageAccount `
       -ResourceGroupName $ResourceGroupName `
       -StorageAccountName $StorageAccountName `
       -DomainAccountType "ComputerAccount"
   

8. Als u wilt controleren of het opslagaccount lid is van uw domein, voert u de onderstaande opdrachten uit en controleert u de uitvoer, waarbij u de waarden vervangt door $resourceGroupName en $storageAccountName door uw waarden:

   $resourceGroupName = "resource-group-name"
   $storageAccountName = "storage-account-name"
   
   (Get-AzStorageAccount -ResourceGroupName $resourceGroupName -Name $storageAccountName).AzureFilesIdentityBasedAuth.DirectoryServiceOptions; (Get-AzStorageAccount -ResourceGroupName $resourceGroupName -Name $storageAccountName).AzureFilesIdentityBasedAuth.ActiveDirectoryProperties
   

Belangrijk

Als uw domein het verlopen van wachtwoorden afdwingt, moet u het wachtwoord bijwerken voordat het verloopt om verificatiefouten te voorkomen bij het openen van Azure-bestandsshares. Zie Het wachtwoord van uw opslagaccount-id bijwerken in AD DS voor meer informatie.

Microsoft Entra Domain Services

1. Open vanuit Azure Portal het opslagaccount dat u eerder hebt gemaakt.

2. Selecteer bestandsshares in de sectie Gegevensopslag.

3. Selecteer Niet geconfigureerd in de hoofdsectie van de pagina naast Active Directory.

4. Selecteer Instellen in het vak voor Microsoft Entra Domain Services.

5. Schakel het selectievakje in om Microsoft Entra Domain Services in te schakelen voor deze bestandsshare en selecteer Vervolgens Opslaan. Een organisatie-eenheid (OE) met de naam AzureFilesConfig wordt gemaakt in de hoofdmap van uw domein en een gebruikersaccount met de naam hetzelfde als het opslagaccount wordt gemaakt in die organisatie-eenheid. Dit account wordt gebruikt als het Azure Files-serviceaccount.

RBAC-rol toewijzen aan gebruikers

Gebruikers die profielen in uw bestandsshare moeten opslaan, hebben toegang nodig. Hiervoor moet u elke gebruiker de rol Inzender voor opslagbestandsgegevens voor SMB-share toewijzen.

Gebruikers de rol toewijzen:

1. Blader in Azure Portal naar het opslagaccount en vervolgens naar de bestandsshare die u eerder hebt gemaakt.

2. Klik op Toegangsbeheer (IAM) .

3. Selecteer + Toevoegen en selecteer vervolgens Roltoewijzing toevoegen in de vervolgkeuzelijst.

4. Selecteer de rol Opslagbestandsgegevens SMB Share-inzender en selecteer Volgende.

5. Selecteer op het tabblad Leden de optie Gebruiker, groep of service-principal en selecteer vervolgens +Leden selecteren. Zoek en selecteer in de zoekbalk de beveiligingsgroep die de gebruikers bevat die profielcontainer gebruiken.

6. Selecteer Beoordelen en toewijzen om de toewijzing te voltooien.

NTFS-machtigingen instellen

Vervolgens moet u NTFS-machtigingen instellen voor de map. Hiervoor moet u de toegangssleutel voor uw opslagaccount ophalen.

Ga als volgende te werk om de toegangssleutel voor het opslagaccount op te halen:

1. Zoek en selecteer in De Azure-portal het opslagaccount in de zoekbalk.

2. Selecteer in de lijst met opslagaccounts het account dat u hebt ingeschakeld Active Directory-domein Services of Microsoft Entra Domain Services als identiteitsbron en wijs de RBAC-rol voor in de vorige secties toe.

3. Selecteer onder Beveiliging en netwerken de optie Toegangssleutels en kopieer de sleutel vervolgens uit key1.

De juiste NTFS-machtigingen voor de map instellen:

1. Meld u aan bij een sessiehost die deel uitmaakt van uw hostgroep.

2. Open een PowerShell-prompt met verhoogde bevoegdheid en voer de onderstaande opdracht uit om het opslagaccount toe te wijzen als station op uw sessiehost. Het toegewezen station wordt niet weergegeven in Bestandenverkenner, maar kan worden weergegeven met de net use opdracht. Dit is zodat u machtigingen voor de share kunt instellen.

   net use <desired-drive-letter>: \\<storage-account-name>.file.core.windows.net\<share-name> <storage-account-key> /user:Azure\<storage-account-name>
   

   • Vervang door <desired-drive-letter> een stationsletter van uw keuze (bijvoorbeeld y:).
   • Vervang beide exemplaren door <storage-account-name> de naam van het opslagaccount dat u eerder hebt opgegeven.
   • Vervang door <share-name> de naam van de share die u eerder hebt gemaakt.
   • Vervang door <storage-account-key> de sleutel van het opslagaccount van Azure.

   Voorbeeld:

   net use y: \\fsprofile.file.core.windows.net\share HDZQRoFP2BBmoYQ(truncated)== /user:Azure\fsprofile
   

3. Voer de volgende opdrachten uit om machtigingen in te stellen voor de share waarmee uw Azure Virtual Desktop-gebruikers hun eigen profiel kunnen maken terwijl de toegang tot de profielen van andere gebruikers wordt geblokkeerd. U moet een Active Directory-beveiligingsgroep gebruiken die de gebruikers bevat die u profielcontainer wilt gebruiken. Vervang in de onderstaande <mounted-drive-letter> opdrachten de letter van het station dat u hebt gebruikt om het station toe te wijzen en <DOMAIN\GroupName> door het domein en sAMAccountName van de Active Directory-groep waarvoor toegang tot de share is vereist. U kunt ook de UPN (User Principal Name) van een gebruiker opgeven.

   icacls <mounted-drive-letter>: /grant "<DOMAIN\GroupName>:(M)"
   icacls <mounted-drive-letter>: /grant "Creator Owner:(OI)(CI)(IO)(M)"
   icacls <mounted-drive-letter>: /remove "Authenticated Users"
   icacls <mounted-drive-letter>: /remove "Builtin\Users"
   

   Voorbeeld:

   icacls y: /grant "CONTOSO\AVDUsers:(M)"
   icacls y: /grant "Creator Owner:(OI)(CI)(IO)(M)"
   icacls y: /remove "Authenticated Users"
   icacls y: /remove "Builtin\Users"
   

Sessiehosts configureren voor het gebruik van profielcontainer

Als u profielcontainer wilt gebruiken, moet u ervoor zorgen dat FSLogix-apps zijn geïnstalleerd op uw sessiehost-VM's. FSLogix-apps is vooraf geïnstalleerd in windows 10 Enterprise-besturingssystemen met meerdere sessies en Windows 11 Enterprise-besturingssystemen voor meerdere sessies, maar u moet nog steeds de onderstaande stappen volgen omdat de nieuwste versie mogelijk niet is geïnstalleerd. Als u een aangepaste installatiekopieën gebruikt, kunt u FSLogix-apps installeren in uw installatiekopieën.

Als u profielcontainer wilt configureren, raden we u aan groepsbeleidsvoorkeuren te gebruiken om registersleutels en -waarden op schaal in te stellen op al uw sessiehosts. U kunt deze ook instellen in uw aangepaste installatiekopieën.

Profielcontainer configureren op uw sessiehost-VM's:

1. Meld u aan bij de VM die wordt gebruikt om uw aangepaste installatiekopie of een sessiehost-VM te maken vanuit uw hostgroep.

2. Als u FSLogix-apps wilt installeren of bijwerken, downloadt u de nieuwste versie van FSLogix en installeert u deze door deze uit te voeren FSLogixAppsSetup.exe. Volg vervolgens de instructies in de installatiewizard. Zie FSLogix downloaden en installeren voor meer informatie over het installatieproces, inclusief aanpassingen en installatie zonder toezicht.

3. Open een PowerShell-prompt met verhoogde bevoegdheid en voer de volgende opdrachten uit, waarbij u het UNC-pad vervangt \\<storage-account-name>.file.core.windows.net\<share-name> door uw opslagaccount dat u eerder hebt gemaakt. Met deze opdrachten schakelt u Profielcontainer in en configureert u de locatie van de share.

   $regPath = "HKLM:\SOFTWARE\FSLogix\profiles"
   New-ItemProperty -Path $regPath -Name Enabled -PropertyType DWORD -Value 1 -Force
   New-ItemProperty -Path $regPath -Name VHDLocations -PropertyType MultiString -Value \\<storage-account-name>.file.core.windows.net\<share-name> -Force
   

4. Start de VM opnieuw op die wordt gebruikt om uw aangepaste installatiekopie of een sessiehost-VM te maken. U moet deze stappen herhalen voor alle resterende sessiehost-VM's.

U hebt nu klaar met het instellen van de profielcontainer. Als u profielcontainer in uw aangepaste installatiekopieën installeert, moet u het maken van de aangepaste installatiekopieën voltooien. Volg voor meer informatie de stappen in Een aangepaste installatiekopie maken in Azure vanuit de sectie De laatste momentopname maken en verder gaan.

Profiel maken valideren

Nadat u profielcontainer hebt geïnstalleerd en geconfigureerd, kunt u uw implementatie testen door u aan te melden met een gebruikersaccount waaraan een toepassingsgroep of bureaublad is toegewezen in de hostgroep.

Als de gebruiker zich eerder heeft aangemeld, heeft deze een bestaand lokaal profiel dat tijdens deze sessie wordt gebruikt. Verwijder eerst het lokale profiel of maak een nieuw gebruikersaccount dat moet worden gebruikt voor tests.

Gebruikers kunnen controleren of profielcontainer is ingesteld door de onderstaande stappen te volgen:

1. Meld u als testgebruiker aan bij Azure Virtual Desktop.

2. Wanneer de gebruiker zich aanmeldt, wordt het bericht 'Wacht op de FSLogix Apps Services' weergegeven als onderdeel van het aanmeldingsproces voordat u het bureaublad bereikt.

Beheerders kunnen controleren of de profielmap is gemaakt door de onderstaande stappen uit te voeren:

1. Open de Azure Portal.

2. Open het opslagaccount dat u eerder hebt gemaakt.

3. Ga naar Gegevensopslag in uw opslagaccount en selecteer vervolgens Bestandsshares.

4. Open de bestandsshare en zorg ervoor dat de map met gebruikersprofielen die u hebt gemaakt zich daar bevindt.

Volgende stappen

Meer gedetailleerde informatie over concepten met betrekking tot FSlogix-profielcontainer vindt u in Gebruikersprofielbeheer voor Azure Virtual Desktop met FSLogix-profielcontainers.