Хранение контейнеров профилей FSLogix на Azure Files и службах доменных имен Active Directory или доменных службах Microsoft Entra.

Внимание

Предстоящее изменение в Windows Server, включенное в обновление за апрель 2026 г., заключается в том, что по умолчанию тип шифрования Kerberos изменяется с RC4 на AES-SHA1.

Общие папки, в которых размещаются контейнеры FSLogix, которые не обновляются до AES-SHA1 могут иметь проблемы с доступом после применения этого изменения. Чтобы избежать сбоев, выполните обновление до AES-SHA1 перед установкой обновления.

Клиенты, которые уже обновились до AES-SHA1, не затронуты.

Дополнительные сведения см. в блоге FSLogix: Требуемое действие: ужесточение Windows Kerberos (RC4) может повлиять на профили FSLogix в хранилище SMB.

В этой статье показано, как настроить профильный контейнер FSLogix с помощью Azure Files, когда виртуальные машины узла сеанса присоединены к домену Active Directory Domain Services (AD DS) или управляемому домену Microsoft Entra Domain Services.

Требования

Чтобы настроить контейнер профиля, вам потребуется следующее:

  • Пул узлов, в котором узлы сеансов присоединены к домену AD DS или к управляемому домену служб Microsoft Entra, а пользователи к ним назначены.
  • Группа безопасности в домене, содержащая пользователей, которые будут использовать контейнер профиля. Если вы используете AD DS, это должно быть синхронизировано с идентификатором Microsoft Entra.
  • Разрешение вашей подписки Azure на создание учетной записи хранения и добавление назначений ролей.
  • Учетная запись домена для присоединения компьютеров к домену и открытия командной строки PowerShell с повышенными привилегиями.
  • Идентификатор подписки Azure, в которой будет находиться ваша учетная запись хранения.
  • Компьютер, присоединенный к домену для установки и запуска модулей PowerShell, которые будут присоединять учетную запись хранения к вашему домену. Это устройство должно работать под управлением поддерживаемой версии Windows. В качестве альтернативы вы можете использовать узел сеанса.

Внимание

Если пользователи ранее входили в узлы сеансов, которые вы хотите использовать, локальные профили были созданы для них и должны быть удалены администратором, чтобы их профиль хранился в контейнере профилей.

Настройка учетной записи хранения для контейнера профиля

Действия по настройке учетной записи хранения:

  1. Создайте учетную запись хранения Azure, если у вас ее нет.

    Совет

    У вашей организации могут быть определенные требования к изменению этих значений по умолчанию:

    • Выбор уровня Премиум зависит от требований к IOPS и задержке. Дополнительные сведения см. в разделе "Параметры хранилища контейнеров".
    • На вкладке Дополнительно параметр Включить доступ к ключу учетной записи хранения должен оставаться активным.
    • Для получения дополнительной информации об остальных параметрах конфигурации см. раздел Планирование развертывания Azure Files.

  2. Создайте хранилище файлов Azure под своей учетной записью хранения для хранения профилей FSLogix, если оно еще не было создано.

Присоединение учетной записи хранения к Active Directory

Чтобы использовать учетные записи Active Directory для разрешений на общий доступ к файловому ресурсу, необходимо включить AD DS или Microsoft Entra Domain Services в качестве источника. Этот процесс присоединяет учетную запись хранения к домену, представляя ее как учетную запись компьютера. Ниже выберите соответствующую вкладку для вашего сценария и выполните указанные действия.

  1. Выполните вход в компьютер, присоединенный к домену AD DS. Или войдите на один из серверов сеансов.

  2. Загрузите и извлеките последнюю версию AzFilesHybrid из репозитория образцов Файлов Azure на GitHub. Запишите имя папки, в которую вы извлекаете файлы.

  3. Откройте командную строку PowerShell с повышенными привилегиями и перейдите к каталогу, в который вы ранее извлекли файлы.

  4. Выполните следующую команду, чтобы добавить модуль AzFilesHybrid в каталог модулей PowerShell пользователя:

    .\CopyToPSPath.ps1

  5. Импортируйте модуль AzFilesHybrid, выполнив следующую команду:

    Import-Module -Name AzFilesHybrid

    Внимание

    Для этого модуля требуется галерея PowerShell и Azure PowerShell. Возможно, вам будет предложено установить их, если они еще не установлены или нуждаются в обновлении. Если таковой запрос появится, выполните установку, а затем закройте все экземпляры PowerShell. Прежде чем продолжить, повторно откройте командную строку PowerShell с повышенными привилегиями и импортируйте модуль AzFilesHybrid еще раз.

  6. Войдите в Azure, выполнив команду, указанную ниже. Вам потребуется использовать учетную запись, которая имеет одну из следующих ролей управления доступом на основе ролей (RBAC):

    • Владелец учетной записи хранения
    • Владелец
    • Участник
    Connect-AzAccount

    Совет

    Если у вашей учетной записи Azure есть доступ к нескольким клиентам и (или) подпискам, необходимо выбрать правильную подписку, задав контекст. Дополнительные сведения см. в статье Объекты контекста Azure PowerShell

  7. Присоедините учетную запись хранения к домену, выполнив приведенные ниже команды и заменив значения для $subscriptionId, $resourceGroupName и $storageAccountName своими значениями. Вы также можете добавить параметр -OrganizationalUnitDistinguishedName, чтобы указать подразделение, в котором будет размещаться учетная запись компьютера.

    $subscriptionId = "subscription-id"
$resourceGroupName = "resource-group-name"
$storageAccountName = "storage-account-name"

Join-AzStorageAccount `
    -ResourceGroupName $ResourceGroupName `
    -StorageAccountName $StorageAccountName `
    -DomainAccountType "ComputerAccount"

  8. Чтобы убедиться, что учетная запись хранения присоединена к вашему домену, выполните команды, приведенные ниже, и просмотрите выходные данные, заменив значения $resourceGroupName и $storageAccountName своими значениями.

    $resourceGroupName = "resource-group-name"
$storageAccountName = "storage-account-name"

(Get-AzStorageAccount -ResourceGroupName $resourceGroupName -Name $storageAccountName).AzureFilesIdentityBasedAuth.DirectoryServiceOptions; (Get-AzStorageAccount -ResourceGroupName $resourceGroupName -Name $storageAccountName).AzureFilesIdentityBasedAuth.ActiveDirectoryProperties

Внимание

Если вашем подразделении действуют ограничения срока действия пароля, необходимо обновить пароль до истечения срока его действия, чтобы предотвратить сбои проверки подлинности при доступе к общим папкам Azure. Дополнительные сведения см. в статье Обновление пароля для идентификации вашей учетной записи хранения в AD DS.

Назначение пользователям ролей RBAC

Пользователям, которым требуется хранить профили в общей папке, требуется разрешение на доступ к нему. Для этого необходимо назначить каждому пользователю роль участника общего доступа SMB файла хранилища.

Чтобы назначить пользователям роль, выполните следующие действия:

  1. На портале Azure перейдите к учетной записи хранения, а затем к общей папке, созданной ранее.

  2. Выберите Управление доступом (IAM).

  3. Нажмите +Добавить, а затем в раскрывающемся меню выберите Добавить назначение роли.

  4. Выберите роль Участник совместного доступа к данным файлов SMB-хранилища и выберите Далее.

  5. На вкладке Члены выберите параметр Пользователь, группа или субъект-служба и нажмите + Выбрать членов. На панели поиска найдите и выберите группу безопасности, содержащую пользователей, которые будут использовать контейнер профиля.

  6. Выберите Просмотреть и назначить, чтобы завершить назначение.

Задайте разрешения NTFS

Затем необходимо задать разрешения NTFS на папку, что требует получения ключа доступа для учетной записи хранилища.

Получение ключа доступа к учетной записи хранения:

  1. На портале Azure найдите и выберите учетная запись хранения в строке поиска.

  2. В списке учетных записей хранения выберите учетную запись, для которой вы включили Active Directory Domain Services или Microsoft Entra Domain Services в качестве источника удостоверений и назначили роль RBAC в предыдущих разделах.

  3. В разделе Безопасность и сеть выберите Ключи доступа, а затем отобразите и скопируйте ключ из key1.

Чтобы задать правильные разрешения NTFS в папке, выполните следующие действия:

  1. Войдите на сеансовый узел, который является частью вашего пула узлов.

  2. Откройте командную строку PowerShell с повышенными привилегиями и выполните приведенную ниже команду, чтобы обозначить учетную запись хранения как диск на узле сеансов. Сопоставленный диск не отображается в Проводнике, но его можно просмотреть с помощью команды net use. Это позволяет задать разрешения для общего ресурса.

    net use <desired-drive-letter>: \\<storage-account-name>.file.core.windows.net\<share-name> <storage-account-key> /user:Azure\<storage-account-name>
    • Замените <desired-drive-letter> нужной буквой диска (например, y:).
    • Замените оба экземпляра <storage-account-name> именем учетной записи хранения, указанной ранее.
    • Замените <share-name> именем общей папки, которую создали ранее.
    • Замените <storage-account-key> ключом учетной записи хранения Azure.

    Например:

    net use y: \\fsprofile.file.core.windows.net\share HDZQRoFP2BBmoYQ(truncated)== /user:Azure\fsprofile

  3. Выполните следующие команды, чтобы задать разрешения для общей папки, которые позволят пользователям Виртуального рабочего стола Azure создавать собственные профили, при этом блокируя доступ к профилям других пользователей. Следует использовать группу безопасности Active Directory, содержащую пользователей, которым вы хотите применить контейнер профилей. В приведенных ниже командах замените <mounted-drive-letter> на букву диска, который вы использовали для сопоставления диска, и <DOMAIN\GroupName> на домен и sAMAccountName группы Active Directory, которой потребуется доступ к общей папке. Вы также можете указать имя пользователя (UPN) пользователя.

    icacls <mounted-drive-letter>: /grant "<DOMAIN\GroupName>:(M)"
icacls <mounted-drive-letter>: /grant "Creator Owner:(OI)(CI)(IO)(M)"
icacls <mounted-drive-letter>: /remove "Authenticated Users"
icacls <mounted-drive-letter>: /remove "Builtin\Users"

    Например:

    icacls y: /grant "CONTOSO\AVDUsers:(M)"
icacls y: /grant "Creator Owner:(OI)(CI)(IO)(M)"
icacls y: /remove "Authenticated Users"
icacls y: /remove "Builtin\Users"

Настройка локального устройства Windows для использования контейнеров профилей

Чтобы использовать контейнеры профилей, необходимо убедиться, что на устройстве установлены приложения FSLogix. Если вы настраиваете Azure Virtual Desktop, FSLogix Apps предварительно установлен в Windows 10 Enterprise для нескольких сеансов и Windows 11 Enterprise для нескольких сеансов, но все равно следует выполнить указанные ниже действия, так как возможно, что установленная версия не является последней. Если вы используете пользовательский образ, вы можете установить приложения FSLogix в свой образ.

Чтобы настроить контейнеры профилей, мы рекомендуем использовать Предпочтения групповой политики для задания ключей реестра и значений по всему масштабу на всех узлах сеансов. Их также можно задать в пользовательском образе.

Чтобы настроить локальное устройство Windows, выполните приведенные действия.

  1. Если вам нужно установить или обновить приложения FSLogix, скачайте последнюю версию FSLogix и установите ее, запустив FSLogixAppsSetup.exe, а затем следуйте инструкциям мастера установки. Дополнительные сведения о процессе установки, включая настройки и автоматическую установку, см. в разделе Загрузка и установка FSLogix.

  2. Откройте командную строку PowerShell с повышенными привилегиями и выполните следующие команды, заменив \\<storage-account-name>.file.core.windows.net\<share-name> на UNC-путь к созданной ранее учетной записи хранения. Эти команды включают контейнер профиля и настраивают расположение общего ресурса.

    $regPath = "HKLM:\SOFTWARE\FSLogix\profiles"
New-ItemProperty -Path $regPath -Name Enabled -PropertyType DWORD -Value 1 -Force
New-ItemProperty -Path $regPath -Name VHDLocations -PropertyType MultiString -Value \\<storage-account-name>.file.core.windows.net\<share-name> -Force

  3. Перезагрузите устройство. Вам потребуется повторить эти действия для всех оставшихся устройств.

Теперь вы завершили настройку контейнера профиля. Если вы устанавливаете контейнер профиля в пользовательском образе, вам потребуется завершить создание пользовательского образа. Для получения дополнительной информации выполните действия, описанные в статье Создание пользовательского образа в Azure, начиная с раздела Создание окончательной фотографии.

Проверка создания профиля

После установки и настройки контейнера профиля можно протестировать развертывание, выполнив вход с помощью учетной записи пользователя, назначаемой группе приложений или рабочему столу в пуле узлов.

Если пользователь выполнил вход ранее, он будет использовать в течение этого сеанса уже имеющийся локальный профиль. Сначала удалите локальный профиль или создайте новую учетную запись пользователя для тестирования.

Пользователи могут проверить, настроен ли контейнер профиля, выполнив следующие действия.

  1. Войдите на Виртуальный рабочий стол Azure в качестве тестового пользователя.

  2. Когда пользователь входит в систему, перед доступом к рабочему столу должно появиться сообщение "Подождите загрузки служб приложений FSLogix" как часть процесса входа.

Администраторы могут проверить, создана ли папка профиля, выполнив следующие действия:

  1. Откройте портал Azure.

  2. Откройте ранее созданную учетную запись хранения.

  3. Перейдите к хранилищу данных в учетной записи хранения, а затем выберите Общие папки.

  4. Откройте общую папку и убедитесь, что созданная папка профиля пользователя находится там.

  • Last updated on