Einrichten des FSLogix-Profilcontainers mit Azure Files und Active Directory Domain Services oder Microsoft Entra Domain Services

In diesem Artikel wird gezeigt, wie Sie den FSLogix-Profilcontainer mit Azure Files einrichten, wenn Ihre virtuellen Computer (Session Host Virtual Machines, VMs) mit einer Active Directory Domain Services-(AD DS-)Domäne oder einer von Microsoft Entra Domain Services verwalteten Domäne verknüpft sind.

Voraussetzungen

Sie benötigen Folgendes:

• Einen Hostpool, in dem die Sitzungshosts mit einer AD DS-Domäne oder einer von Microsoft Entra Domain Services verwalteten Domäne verknüpft sind und dem Benutzer zugewiesen sind.
• Eine Sicherheitsgruppe in Ihrer Domäne, die die Benutzer enthält, die den Profilcontainer verwenden. Wenn Sie AD DS verwenden, muss diese mit Microsoft Entra ID synchronisiert werden.
• Berechtigung für Ihr Azure-Abonnement zum Erstellen eines Speicherkontos und Hinzufügen von Rollenzuweisungen.
• Ein Domänenkonto, um Computer mit der Domäne zu verknüpfen und eine PowerShell-Eingabeaufforderung mit erhöhten Rechten zu öffnen.
• Die Abonnement-ID Ihres Azure-Abonnements, in dem Sich Ihr Speicherkonto befindet.
• Ein Computer, der mit Ihrer Domäne verknüpft ist, um PowerShell-Module zu installieren und auszuführen, die mit einem Speicherkonto zu Ihrer Domäne verknüpft werden. Dieses Gerät muss eine unterstützte Version von Windows ausführen. Alternativ können Sie einen Sitzungshost verwenden.

Wichtig

Wenn Benutzer sich zuvor bei den Sitzungshosts angemeldet haben, die Sie verwenden möchten, werden lokale Profile für sie erstellt und müssen zuerst von einem Administrator gelöscht werden, damit ihr Profil in einem Profilcontainer gespeichert werden kann.

Einrichten eines Speicherkontos für den Profilcontainer

So richten Sie ein Speicherkonto ein:

1. Melden Sie sich beim Azure-Portal an.

2. Suchen Sie in der Suchleiste nach Speicherkonten.

3. Wählen Sie + Erstellen aus.

4. Geben Sie auf der Registerkarte Grundlagen auf der Seite Speicherkonto erstellen die folgenden Informationen ein:

   • Erstellen Sie eine neue Ressourcengruppe, oder wählen Sie eine vorhandene aus, in der das Speicherkonto gespeichert werden soll.
   • Geben Sie einen eindeutigen Namen für Ihr Speicherkonto ein. Der Speicherkontoname muss zwischen 3 und 24 Zeichen lang sein.
   • Als Bereich sollten Sie den gleichen Speicherort wie für den Azure Virtual Desktop-Hostpool auswählen.
   • Wählen Sie für Leistung mindestens die Option Standard aus.
   • Wenn Sie Premium-Leistung auswählen, legen Sie den Premium-Kontotyp auf Dateifreigaben fest.
   • Wählen Sie unter Redundanz mindestens die Option Lokal redundanter Speicher (LRS) aus.
   • Die Standardwerte auf den verbleibenden Registerkarten müssen nicht geändert werden.

   Tipp

   Möglicherweise hat Ihre Organisation Anforderungen, aufgrund derer diese Standardwerte geändert werden müssen:

   • Ob Sie Premium auswählen sollten, hängt von Ihren IOPS- und Latenzanforderungen ab. Weitere Informationen finden Sie unter Speicheroptionen für FSLogix-Profilcontainer in Azure Virtual Desktop.
   • Auf der Registerkarte Erweitert muss Zugriff auf Speicherkontoschlüssel aktivieren aktiviert bleiben.
   • Weitere Informationen zu den verbleibenden Konfigurationsoptionen finden Sie unter Planen einer Azure Files Bereitstellung.

5. Klicken Sie auf Überprüfen + erstellen. Überprüfen Sie die Parameter und die Werte, die verwendet werden sollen, und wählen Sie dann Erstellen aus.

6. Wählen Sie nach dem Erstellen des Speicherkontos Zu Ressource wechseln aus.

7. Wählen Sie im Abschnitt Datenspeicher die Option Dateifreigaben aus.

8. Klicken Sie auf + Dateifreigabe.

9. Geben Sie einen Namen wie z. B. Profile ein, und wählen Sie dann als Ebene Für Transaktion optimiert aus.

Verknüpfen Ihres Speicherkontos mit Active Directory

Um Active Directory-Konten für die Freigabeberechtigungen Ihrer Dateifreigabe zu verwenden, müssen Sie AD DS oder Microsoft Entra Domain Services als Quelle aktivieren. Durch diesen Prozess wird Ihr Speicherkonto mit einer Domäne verknüpft, sodass diese als Computerkonto dargestellt ist. Wählen Sie die relevante Registerkarte unten für Ihr Szenario aus, und führen Sie die Schritte aus.

AD DS

1. Melden Sie sich bei einem Computer an, der mit Ihrer AD DS-Domäne verknüpft ist. Alternativ melden Sie sich bei einem Ihrer Sitzungshosts an.

2. Laden Sie die neueste Version von AzFilesHybrid aus den Beispielen für Azure Files-GitHub-Repository herunter und extrahieren Sie sie. Notieren Sie sich den Ordner, in den Sie die Dateien extrahieren.

3. Öffnen Sie eine PowerShell-Eingabeaufforderung mit erhöhten Rechten, und wechseln Sie zu dem Verzeichnis, in dem Sie die Dateien extrahiert haben.

4. Führen Sie den folgenden Befehl aus, um das AzFilesHybrid-Modul zum PowerShell-Modulverzeichnis Ihres Benutzers hinzuzufügen:

   .\CopyToPSPath.ps1
   

5. Importieren Sie das AzFilesHybrid-Modul, indem Sie den folgenden Befehl ausführen:

   Import-Module -Name AzFilesHybrid
   

   Wichtig

   Dieses Modul erfordert den PowerShell-Katalog und Azure PowerShell. Möglicherweise werden Sie aufgefordert, diese zu installieren, wenn sie noch nicht installiert sind oder aktualisiert werden müssen. Wenn Sie dazu aufgefordert werden, installieren Sie sie, und schließen Sie dann alle Instanzen von PowerShell. Öffnen Sie erneut eine PowerShell-Eingabeaufforderung mit erhöhten Rechten, und importieren Sie das AzFilesHybrid-Modul erneut, bevor Sie fortfahren.

6. Melden Sie sich bei Azure an, indem Sie den nachfolgenden Befehl ausführen. Sie müssen ein Konto verwenden, das über eine der folgenden rollenbasierten Zugriffssteuerungsrollen (RBAC) verfügt:

   • Speicherkontobesitzer
   • Besitzer
   • Mitwirkender

   Connect-AzAccount
   

   Tipp

   Wenn Ihr Azure-Konto Zugriff auf mehrere Mandanten und/oder Abonnements hat, müssen Sie das richtige Abonnement auswählen, indem Sie Ihren Kontext festlegen. Weitere Informationen finden Sie unter Azure PowerShell-Kontextobjekte.

7. Verknüpfen Sie das Speicherkonto mit Ihrer Domäne, indem Sie die folgenden Befehle ausführen und dabei die Werte für $subscriptionId, $resourceGroupName und $storageAccountName durch Ihre Werte ersetzen. Sie können auch den Parameter -OrganizationalUnitDistinguishedName hinzufügen, um eine Organisationseinheit (OE) anzugeben, in der das Computerkonto platziert werden soll.

   $subscriptionId = "subscription-id"
   $resourceGroupName = "resource-group-name"
   $storageAccountName = "storage-account-name"
   
   Join-AzStorageAccount `
       -ResourceGroupName $ResourceGroupName `
       -StorageAccountName $StorageAccountName `
       -DomainAccountType "ComputerAccount"
   

8. Um zu überprüfen, ob das Speicherkonto mit Ihrer Domäne verknüpft ist, führen Sie die folgenden Befehle aus, und überprüfen Sie die Ausgabe, indem Sie die Werte für $resourceGroupName und $storageAccountName durch Ihre Werte ersetzen:

   $resourceGroupName = "resource-group-name"
   $storageAccountName = "storage-account-name"
   
   (Get-AzStorageAccount -ResourceGroupName $resourceGroupName -Name $storageAccountName).AzureFilesIdentityBasedAuth.DirectoryServiceOptions; (Get-AzStorageAccount -ResourceGroupName $resourceGroupName -Name $storageAccountName).AzureFilesIdentityBasedAuth.ActiveDirectoryProperties
   

Wichtig

Wenn Ihre Domäne den Ablauf von Kennwörtern erzwingt, müssen Sie das Kennwort aktualisieren, bevor es abläuft, um Authentifizierungsfehler beim Zugriff auf Azure-Dateifreigaben zu verhindern. Weitere Informationen finden Sie unter Aktualisieren des Kennworts für Ihre Speicherkontoidentität in AD DS.

Microsoft Entra Domain Services

1. Öffnen Sie im Azure-Portal das zuvor erstellte Speicherkonto.

2. Wählen Sie im Abschnitt Datenspeicher die Option Dateifreigaben aus.

3. Wählen Sie im Hauptabschnitt der Seite neben Active Directory die Option Nicht konfiguriert aus.

4. Wählen Sie im Feld fürMicrosoft Entra Domain ServicesEinrichten aus.

5. Aktivieren Sie das Kontrollkästchen, um Microsoft Entra Domain Services für diese Dateifreigabe zu aktivieren, und wählen Sie dann Speichern aus. Eine Organisationseinheit (OE) namens AzureFilesConfig wird im Stammverzeichnis Ihrer Domäne erstellt, und ein Benutzerkonto mit dem Namen des Speicherkontos wird in dieser OE erstellt. Dieses Konto wird als Azure Files-Dienstkonto verwendet.

Zuweisen von RBAC-Rollen an Benutzer

Benutzer, die Profile in Ihrer Dateifreigabe speichern müssen, benötigen die Berechtigung, darauf zuzugreifen. Dazu müssen Sie jedem Benutzer die Rolle Mitwirkender für Speicherdateidaten-SMB-Freigabe zuweisen.

So weisen Sie Benutzern die Rolle zu:

1. Navigieren Sie im Azure-Portal zum Speicherkonto und dann zu der zuvor erstellten Dateifreigabe.

2. Wählen Sie die Option Zugriffssteuerung (IAM) aus.

3. Wählen Sie + Hinzufügen und dann aus dem Dropdownmenü Rollenzuweisung hinzufügen aus.

4. Wählen Sie die Rolle Mitwirkender für Speicherdateidaten-SMB-Freigabe und dann Weiter aus.

5. Wählen Sie auf der Registerkarte Mitglieder die Option Benutzer, Gruppe oder Dienstprinzipal und dann die Option + Mitglieder auswählen aus. Suchen Sie in der Suchleiste nach der Sicherheitsgruppe, die die Benutzer enthält, der den Profilcontainer verwenden soll und wählen Sie sie aus.

6. Wählen Sie Überprüfen + Zuweisen aus, um die Zuweisung abzuschließen.

Festlegen von NTFS-Berechtigungen

Als Nächstes müssen Sie NTFS-Berechtigungen für den Ordner festlegen. Dazu müssen Sie den Zugriffsschlüssel für Ihr Speicherkonto abrufen.

So rufen Sie den Zugriffsschlüssel für das Speicherkonto ab:

1. Suchen Sie im Azure-Portal in der Suchleiste nach Speicherkonto und wählen Sie diese Option aus.

2. Wählen Sie in der Liste der Speicherkonten das Konto aus, für das Sie Active Directory Domain Services oder Microsoft Entra Domain Services als Identitätsquelle aktiviert und die RBAC-Rolle in den vorherigen Abschnitten zugewiesen haben.

3. Wählen Sie unter Sicherheit + Netzwerkbetrieb die Zugriffsschlüssel aus, und kopieren Sie den Schlüssel von Key1.

So legen Sie die richtigen NTFS-Berechtigungen für den Ordner fest:

1. Melden Sie sich bei einem Sitzungshost an, der Teil Ihres Hostpools ist.

2. Öffnen Sie eine PowerShell-Eingabeaufforderung mit erhöhten Rechten, und führen Sie den folgenden Befehl aus, um das Speicherkonto als Laufwerk auf Ihrem Sitzungshost zuzuordnen. Das zugeordnete Laufwerk wird nicht im Explorer angezeigt, kann aber mit dem Befehl net use angezeigt werden. Auf diese Weise können Sie Berechtigungen für die Freigabe festlegen.

   net use <desired-drive-letter>: \\<storage-account-name>.file.core.windows.net\<share-name> <storage-account-key> /user:Azure\<storage-account-name>
   

   • Ersetzen Sie <desired-drive-letter> durch einen Laufwerkbuchstaben Ihrer Wahl (z. B. y:).
   • Ersetzen Sie beide Instanzen von <storage-account-name> durch den Namen des Speicherkontos, das Sie zuvor angegeben haben.
   • Ersetzen Sie <share-name> durch den Namen der Freigabe, die Sie zuvor erstellt haben.
   • Ersetzen Sie <storage-account-key> durch den Speicherkontoschlüssel aus Azure.

   Beispiel:

   net use y: \\fsprofile.file.core.windows.net\share HDZQRoFP2BBmoYQ(truncated)== /user:Azure\fsprofile
   

3. Führen Sie die folgenden Befehle aus, um die Berechtigungen für die Freigabe festzulegen, die es Ihren Azure Virtual Desktop-Benutzern ermöglicht, ihre eigenen Profilcontainer zu erstellen, während sie den Zugriff auf die Profile anderer Benutzer verhindern. Sie sollten eine Active Directory-Sicherheitsgruppe verwenden, die die Benutzer enthält, die Profilcontainer verwenden können sollen. Ersetzen Sie in den nachfolgenden Befehlen <mounted-drive-letter> durch den Buchstaben des Laufwerks, das Sie zum Zuordnen des Laufwerks verwendet haben, und <DOMAIN\GroupName> durch die Domäne und sAMAccountName der Active Directory-Gruppe, die Zugriff auf die Freigabe benötigt. Sie können auch den Benutzerprinzipalnamen (User Principal Name, UPN) eines Benutzers angeben.

   icacls <mounted-drive-letter>: /grant "<DOMAIN\GroupName>:(M)"
   icacls <mounted-drive-letter>: /grant "Creator Owner:(OI)(CI)(IO)(M)"
   icacls <mounted-drive-letter>: /remove "Authenticated Users"
   icacls <mounted-drive-letter>: /remove "Builtin\Users"
   

   Beispiel:

   icacls y: /grant "CONTOSO\AVDUsers:(M)"
   icacls y: /grant "Creator Owner:(OI)(CI)(IO)(M)"
   icacls y: /remove "Authenticated Users"
   icacls y: /remove "Builtin\Users"
   

Konfigurieren von Sitzungshosts für die Verwendung des Profilcontainers

Um den Profilcontainer zu verwenden, müssen Sie sicherstellen, dass FSLogix Apps auf Ihren Sitzungshost-VMs installiert ist. FSLogix Apps ist auf den Betriebssystemen Windows 10 Enterprise (mehrere Sitzungen) und Windows 11 Enterprise (mehrere Sitzungen) vorinstalliert. Sie sollten jedoch weiterhin die nachstehenden Schritte ausführen, da möglicherweise nicht die neueste Version installiert ist. Wenn Sie ein benutzerdefiniertes Image verwenden, können Sie FSLogix Apps in Ihrem Image installieren.

Um den Profilcontainer zu konfigurieren, empfehlen wir Ihnen, Gruppenrichtlinieneinstellungen zum Festlegen von Registrierungsschlüsseln und Werten für all Ihre Sitzungshosts zu verwenden. Sie können diese auch in Ihrem benutzerdefinierten Image festlegen.

So konfigurieren Sie den Profilcontainer auf Ihren Sitzungshost-VMs:

1. Melden Sie sich bei dem VM an, der zum Erstellen Ihres benutzerdefinierten Images oder eines Sitzungshost-VMs aus Ihrem Hostpool verwendet wird.

2. Wenn Sie FSLogix Apps installieren oder aktualisieren müssen, laden Sie die neueste Version von FSLogix herunter, und installieren Sie sie, indem Sie FSLogixAppsSetup.exe ausführen, und befolgen Sie die Anweisungen im Setup-Assistenten. Weitere Informationen zum Installationsprozess, einschließlich Anpassungen und unbeaufsichtigter Installation, finden Sie unter Herunterladen und Installieren von FSLogix.

3. Öffnen Sie eine PowerShell-Eingabeaufforderung mit erhöhten Rechten, und führen Sie die folgenden Befehle aus, indem Sie \\<storage-account-name>.file.core.windows.net\<share-name> durch den UNC-Pfad zu Ihrem zuvor erstellten Speicherkonto ersetzen. Durch diese Befehle wird der Profilcontainer aktiviert und der Speicherort der Freigabe konfiguriert.

   $regPath = "HKLM:\SOFTWARE\FSLogix\profiles"
   New-ItemProperty -Path $regPath -Name Enabled -PropertyType DWORD -Value 1 -Force
   New-ItemProperty -Path $regPath -Name VHDLocations -PropertyType MultiString -Value \\<storage-account-name>.file.core.windows.net\<share-name> -Force
   

4. Starten Sie den virtuellen Computer neu, um Ihr benutzerdefiniertes Image oder einen Sitzungshost-VM zu erstellen. Sie müssen diese Schritte für alle verbleibenden Sitzungshost-VMs wiederholen.

Jetzt sind Sie mit der Einrichtung des Profilcontainers fertig. Wenn Sie den Profilcontainer in Ihrem benutzerdefinierten Image installieren, müssen Sie das benutzerdefinierte Image fertigerstellen. Weitere Informationen erhalten Sie, wenn Sie die Schritte unter Erstellen eines benutzerdefinierten Images in Azure ab dem Abschnitt Erstellen der endgültigen Momentaufnahme ausführen.

Überprüfen der Profilerstellung

Nachdem Sie den Profilcontainer installiert und konfiguriert haben, können Sie die Bereitstellung testen, indem Sie sich mit einem Benutzerkonto anmelden, dem eine Anwendungsgruppe oder ein Desktop im Hostpool zugewiesen wurde.

Wenn sich Benutzer*innen zuvor bereits angemeldet hatten, verfügen sie über ein vorhandenes lokales Profil, das während dieser Sitzung verwendet wird. Löschen Sie zuerst das lokale Profil, oder erstellen Sie ein neues Benutzerkonto, das für Tests verwendet werden soll.

Sie können überprüfen, ob der Profilcontainer eingerichtet ist, indem Sie die folgenden Schritte ausführen:

1. Melden Sie sich als Testbenutzer bei Azure Virtual Desktop an.

2. Wenn sich der Benutzer anmeldet, sollte im Rahmen des Anmeldevorgangs die Meldung „Bitte warten Sie auf die FSLogix Apps Services“ angezeigt werden, bevor Sie den Desktop erreichen.

Administratoren können überprüfen, ob der Profilordner erstellt wurde, indem sie die folgenden Schritte ausführen:

1. Öffnen Sie das Azure-Portal.

2. Öffnen Sie das zuvor erstellte Speicherkonto.

3. Wechseln Sie in Ihrem Speicherkonto zu Datenspeicher, und wählen Sie dann Dateifreigaben aus.

4. Öffnen Sie Ihre Dateifreigabe, und vergewissern Sie sich, dass sich der von Ihnen erstellte Benutzerprofilordner dort befindet.

Nächste Schritte

Ausführlichere Informationen zu Konzepten im Zusammenhang mit FSlogix-Profilcontainer für Azure Files finden Sie unter FSLogix-Profilcontainer für Azure Files.