Share via

Azure Files 및 Active Directory Domain Services 또는 Microsoft Entra Domain Services를 사용하여 FSLogix 프로필 컨테이너 설정

  • 아티클

이 문서에서는 세션 호스트 VM(가상 머신)이 AD DS(Active Directory Domain Services) 도메인 또는 Microsoft Entra Domain Services의 관리되는 도메인에 조인될 때 Azure Files를 사용하여 FSLogix 프로필 컨테이너를 설정하는 방법을 보여 줍니다.

필수 조건

다음 항목이 필요합니다.

  • 세션 호스트가 AD DS 도메인 또는 Microsoft Entra Domain Services의 관리되는 도메인에 조인되고 사용자가 할당되는 호스트 풀입니다.
  • 프로필 컨테이너를 사용할 사용자가 포함된 도메인의 보안 그룹입니다. AD DS를 사용하는 경우 Microsoft Entra ID와 동기화해야 합니다.
  • 스토리지 계정을 만들고 역할 할당을 추가할 수 있는 Azure 구독에 대한 권한입니다.
  • 컴퓨터를 도메인에 조인시키고 관리자 권한 PowerShell 프롬프트를 여는 도메인 계정입니다.
  • 스토리지 계정이 있는 Azure 구독의 구독 ID입니다.
  • 스토리지 계정을 도메인에 조인시킬 PowerShell 모듈을 설치 및 실행하기 위해 도메인에 조인된 컴퓨터입니다. 이 디바이스는 지원되는 Windows 버전을 실행해야 합니다. 또는 세션 호스트를 사용할 수 있습니다.

Important

사용자가 이전에 사용하려는 세션 호스트에 로그인한 경우 로컬 프로필이 만들어지며 관리자가 먼저 삭제해야 해당 프로필이 프로필 컨테이너에 저장됩니다.

프로필 컨테이너에 대한 스토리지 계정 설정

스토리지 계정을 설정하려면 다음을 수행합니다.

  1. Azure Portal에 로그인합니다.

  2. 검색 창에서 스토리지 계정을 검색합니다.

  3. + 만들기를 선택합니다.

  4. 스토리지 계정 만들기 페이지의 기본 탭에 다음 정보를 입력합니다.

    • 새 리소스 그룹을 만들거나 스토리지 계정을 저장할 기존 리소스 그룹을 선택합니다.
    • 스토리지 계정에 고유한 이름을 입력합니다. 이 스토리지 계정 이름은 3~24자 사이여야 합니다.
    • 지역의 경우 Azure Virtual Desktop 호스트 풀과 동일한 위치를 선택하는 것이 좋습니다.
    • 성능에 대해 최소 표준을 선택합니다.
    • 프리미엄 성능을 선택하는 경우 Premium 계정 유형파일 공유로 설정합니다.
    • 중복성의 경우 최소한 LRS(로컬 중복 스토리지)를 선택합니다.
    • 나머지 탭의 기본값은 변경할 필요가 없습니다.

    조직에 다음 기본값을 변경해야 하는 요구 사항이 있을 수 있습니다.

  5. 검토 + 만들기를 선택합니다. 사용할 매개 변수와 값을 검토한 다음 만들기를 선택합니다.

  6. 스토리지 계정이 만들어지면 리소스로 이동을 선택합니다.

  7. 데이터 스토리지 섹션에서 파일 공유를 선택합니다.

  8. + 파일 공유를 선택합니다.

  9. 프로필과 같은 이름을 입력한 다음 계층에 대해 트랜잭션 최적화를 선택합니다.

Active Directory에 스토리지 계정 조인

파일 공유의 공유 권한에 Active Directory 계정을 사용하려면 AD DS 또는 Microsoft Entra Domain Services를 원본으로 사용하도록 설정해야 합니다. 이 프로세스는 스토리지 계정을 컴퓨터 계정으로 나타내는 도메인에 조인합니다. 아래에서 시나리오에 대한 관련 탭을 선택하고 단계를 따릅니다.

  1. AD DS 도메인에 조인된 컴퓨터에 로그인합니다. 또는 세션 호스트 중 하나에 로그인합니다.

  2. Azure Files 샘플 GitHub 리포지토리에서 최신 버전의 AzFilesHybrid를 다운로드하고 추출합니다. 파일을 추출할 폴더를 기록해 둡니다.

  3. 관리자 권한 PowerShell 프롬프트를 열고 파일을 추출한 디렉터리로 변경합니다.

  4. 다음 명령을 실행하여 사용자의 PowerShell 모듈 디렉터리에 AzFilesHybrid 모듈을 추가합니다.

    .\CopyToPSPath.ps1

  5. 다음 명령을 실행하여 AzFilesHybrid 모듈을 가져옵니다.

    Import-Module -Name AzFilesHybrid

    Important

    이 모듈에는 PowerShell 갤러리Azure PowerShell이 필요합니다. 아직 설치되지 않았거나 업데이트가 필요한 경우 설치하라는 메시지가 표시될 수 있습니다. 이를 묻는 메시지가 표시되면 설치한 다음 PowerShell의 모든 인스턴스를 닫습니다. 계속하기 전에 관리자 권한 PowerShell 프롬프트를 다시 열고 AzFilesHybrid 모듈을 다시 가져옵니다.

  6. 아래 명령을 실행하여 Azure에 로그인합니다. 다음 RBAC(역할 기반 액세스 제어) 역할 중 하나가 있는 계정을 사용해야 합니다.

    • 스토리지 계정 소유자
    • 소유자
    • 기여자
    Connect-AzAccount

    Azure 계정에 여러 테넌트 및/또는 구독에 대한 액세스 권한이 있는 경우 컨텍스트를 설정하여 올바른 구독을 선택해야 합니다. 자세한 내용은 Azure PowerShell 컨텍스트 개체를 참조하세요.

  7. 아래 명령을 실행하여 스토리지 계정을 도메인에 조인시키고 $subscriptionId, $resourceGroupName$storageAccountName 값을 원하는 값으로 바꿉니다. 매개 변수 -OrganizationalUnitDistinguishedName을 추가하여 컴퓨터 계정을 배치할 OU(조직 구성 단위)를 지정할 수도 있습니다.

    $subscriptionId = "subscription-id"
$resourceGroupName = "resource-group-name"
$storageAccountName = "storage-account-name"

Join-AzStorageAccount `
    -ResourceGroupName $ResourceGroupName `
    -StorageAccountName $StorageAccountName `
    -DomainAccountType "ComputerAccount"

  8. 스토리지 계정이 도메인에 조인되었는지 확인하려면 아래 명령을 실행하고 출력을 검토하여 $resourceGroupName$storageAccountName 값을 원하는 값으로 바꿉니다.

    $resourceGroupName = "resource-group-name"
$storageAccountName = "storage-account-name"

(Get-AzStorageAccount -ResourceGroupName $resourceGroupName -Name $storageAccountName).AzureFilesIdentityBasedAuth.DirectoryServiceOptions; (Get-AzStorageAccount -ResourceGroupName $resourceGroupName -Name $storageAccountName).AzureFilesIdentityBasedAuth.ActiveDirectoryProperties

Important

도메인에서 암호 만료를 적용하는 경우 Azure 파일 공유에 액세스할 때 인증 실패를 방지하기 위해 만료되기 전에 암호를 업데이트해야 합니다. 자세한 내용은 AD DS에서 스토리지 계정 ID의 암호 업데이트를 참조하세요.

사용자에게 RBAC 역할 할당

파일 공유에 프로필을 저장해야 하는 사용자는 액세스 권한이 필요합니다. 이렇게 하려면 각 사용자에게 스토리지 파일 데이터 SMB 공유 기여자 역할을 할당해야 합니다.

사용자에게 역할을 할당하려면:

  1. Azure Portal에서 스토리지 계정으로 이동한 다음 이전에 만든 파일 공유로 이동합니다.

  2. 액세스 제어(IAM) 를 선택합니다.

  3. + 추가를 선택한 다음 드롭다운 메뉴에서 역할 할당 추가를 선택합니다.

  4. 스토리지 파일 데이터 SMB 공유 기여자 역할을 선택하고 다음을 선택합니다.

  5. 멤버 탭에서 사용자, 그룹 또는 서비스 주체를 선택한 다음, +멤버 선택을 선택합니다. 검색 창에서 프로필 컨테이너를 사용할 사용자가 포함된 보안 그룹을 검색하여 선택합니다.

  6. 검토 + 할당을 선택하여 할당을 완료합니다.

NTFS 권한 설정

다음으로 폴더에 대한 NTFS 권한을 설정해야 합니다. 이를 위해서는 스토리지 계정에 대한 액세스 키를 가져와야 합니다.

스토리지 계정 액세스 키를 가져오려면:

  1. Azure Portal의 검색 창에서 스토리지 계정을 검색하여 선택합니다.

  2. 스토리지 계정 목록에서 Active Directory 도메인 Services 또는 Microsoft Entra Do기본 Services를 ID 원본으로 사용하도록 설정한 계정을 선택하고 이전 섹션에서 RBAC 역할을 할당했습니다.

  3. 보안 + 네트워킹에서 액세스 키를 선택한 다음 key1에서 키를 표시하고 복사합니다.

폴더에 대한 올바른 NTFS 권한을 설정하려면:

  1. 호스트 풀의 일부인 세션 호스트에 로그인합니다.

  2. 관리자 권한 PowerShell 프롬프트를 열고 아래 명령을 실행하여 스토리지 계정을 세션 호스트의 드라이브로 매핑합니다. 매핑된 드라이브는 파일 탐색기에 표시되지 않지만 net use 명령으로 볼 수 있습니다. 이렇게 하면 공유에 대한 권한을 설정할 수 있습니다.

    net use <desired-drive-letter>: \\<storage-account-name>.file.core.windows.net\<share-name> <storage-account-key> /user:Azure\<storage-account-name>
    • <desired-drive-letter>를 원하는 드라이브 문자(예: y:)로 바꿉니다.
    • 두 인스턴스를 <storage-account-name> 모두 이전에 지정한 스토리지 계정의 이름으로 바꿉니다.
    • <share-name>을 앞서 만든 공유의 이름으로 바꿉니다.
    • <storage-account-key>를 Azure의 스토리지 계정 키로 바꿉니다.

    예시:

    net use y: \\fsprofile.file.core.windows.net\share HDZQRoFP2BBmoYQ(truncated)== /user:Azure\fsprofile

  3. 다음 명령을 실행하여 Azure Virtual Desktop 사용자가 다른 사용자의 프로필에 대한 액세스를 차단하면서 자신의 프로필을 만들 수 있도록 공유에 대한 권한을 설정합니다. 프로필 컨테이너를 사용하려는 사용자가 포함된 Active Directory 보안 그룹을 사용해야 합니다. 아래 명령에서 <mounted-drive-letter>를 드라이브 매핑에 사용한 드라이브 문자로 바꾸고 <DOMAIN\GroupName>을 공유에 액세스해야 하는 Active Directory 그룹의 도메인 및 sAMAccountName으로 바꿉니다. 사용자의 UPN(사용자 계정 이름)을 지정할 수도 있습니다.

    icacls <mounted-drive-letter>: /grant "<DOMAIN\GroupName>:(M)"
icacls <mounted-drive-letter>: /grant "Creator Owner:(OI)(CI)(IO)(M)"
icacls <mounted-drive-letter>: /remove "Authenticated Users"
icacls <mounted-drive-letter>: /remove "Builtin\Users"

    예시:

    icacls y: /grant "CONTOSO\AVDUsers:(M)"
icacls y: /grant "Creator Owner:(OI)(CI)(IO)(M)"
icacls y: /remove "Authenticated Users"
icacls y: /remove "Builtin\Users"

프로필 컨테이너를 사용하도록 세션 호스트 구성

프로필 컨테이너를 사용하려면 세션 호스트 VM에 FSLogix 앱이 설치되어 있는지 확인해야 합니다. FSLogix 앱은 Windows 10 Enterprise 다중 세션 및 Windows 11 Enterprise 다중 세션 운영 체제에 사전 설치되어 있지만 최신 버전이 설치되어 있지 않을 수 있으므로 아래 단계를 따라야 합니다. 사용자 지정 이미지를 사용하는 경우 이미지에 FSLogix 앱을 설치할 수 있습니다.

프로필 컨테이너를 구성하려면 그룹 정책 기본 설정을 사용하여 모든 세션 호스트에서 대규모로 레지스트리 키와 값을 설정하는 것이 좋습니다. 사용자 지정 이미지에서 설정할 수도 있습니다.

세션 호스트 VM에서 프로필 컨테이너를 구성하려면:

  1. 호스트 풀에서 사용자 지정 이미지 또는 세션 호스트 VM을 만드는 데 사용되는 VM에 로그인합니다.

  2. FSLogix 앱을 설치하거나 업데이트해야 하는 경우 최신 버전의 FSLogix를 다운로드하고 FSLogixAppsSetup.exe를 실행하여 설치한 다음 설정 마법사의 지침을 따릅니다. 사용자 지정 및 무인 설치를 포함한 설치 프로세스에 대한 자세한 내용은 FSLogix 다운로드 및 설치를 참조하세요.

  3. 관리자 권한 PowerShell 프롬프트를 열고 다음 명령을 실행하여 \\<storage-account-name>.file.core.windows.net\<share-name>을 이전에 만든 스토리지 계정에 대한 UNC 경로로 바꿉니다. 이 명령은 프로필 컨테이너를 사용하도록 설정하고 공유 위치를 구성합니다.

    $regPath = "HKLM:\SOFTWARE\FSLogix\profiles"
New-ItemProperty -Path $regPath -Name Enabled -PropertyType DWORD -Value 1 -Force
New-ItemProperty -Path $regPath -Name VHDLocations -PropertyType MultiString -Value \\<storage-account-name>.file.core.windows.net\<share-name> -Force

  4. 사용자 지정 이미지 또는 세션 호스트 VM을 만드는 데 사용된 VM을 다시 시작합니다. 나머지 세션 호스트 VM에 대해 이 단계를 반복해야 합니다.

이제 프로필 컨테이너 설정이 완료되었습니다. 사용자 지정 이미지에 프로필 컨테이너를 설치하는 경우 사용자 지정 이미지 만들기를 완료해야 합니다. 자세한 내용은 최종 스냅샷 만들기 섹션에서 Azure에서 사용자 지정 이미지 만들기 단계를 따릅니다.

프로필 만들기 유효성 검사

프로필 컨테이너를 설치 및 구성한 후에는 호스트 풀에서 애플리케이션 그룹 또는 데스크톱이 할당된 사용자 계정으로 로그인하여 배포를 테스트할 수 있습니다.

이전에 사용자가 로그인한 경우 이 세션 중에 사용되는 기존 로컬 프로필을 갖게 됩니다. 먼저 로컬 프로필을 삭제하거나 테스트에 사용할 새 사용자 계정을 만듭니다.

사용자는 아래 단계에 따라 프로필 컨테이너가 설정되었는지 확인할 수 있습니다.

  1. 테스트 사용자로 Azure Virtual Desktop에 로그인합니다.

  2. 사용자가 로그인하면 데스크톱에 도달하기 전에 "FSLogix Apps Services를 기다리세요"라는 메시지가 로그인 프로세스의 일부로 나타나야 합니다.

관리자는 아래 단계에 따라 프로필 폴더가 만들어졌는지 확인할 수 있습니다.

  1. Azure Portal을 엽니다.

  2. 이전에 만든 스토리지 계정을 엽니다.

  3. 스토리지 계정의 데이터 스토리지로 이동한 다음 파일 공유를 선택합니다.

  4. 파일 공유를 열고 만든 사용자 프로필 폴더가 해당 폴더에 있는지 확인합니다.

다음 단계

Azure Files용 FSLogix 프로필 컨테이너에서 Azure Files용 FSlogix 프로필 컨테이너와 관련된 개념에 대한 자세한 정보를 찾을 수 있습니다.