Развертывание средства диагностики для Виртуального рабочего стола Azure (классическая модель)

Внимание

Это содержимое применимо к Виртуальному рабочему столу Azure (классическому), который не поддерживает объекты Azure Resource Manager для Виртуального рабочего стола Azure.

Вот что может сделать средство диагностики для Виртуального рабочего стола Azure.

• Поиск диагностических действий (управление, простое подключение или через веб-канал) для одного пользователя в течение одной недели.
• Сбор сведений об узле сеанса для проведения действий по подключению из рабочей области Log Analytics.
• Просмотр сведений о работе виртуальной машины по определенному узлу.
• Просмотр того какие пользователи входят в узел сеансов.
• Отправка сообщений активным пользователям на определенном узле сеансов.
• Вынужденный вывод пользователей из узла сеансов.

Необходимые компоненты

Перед развертыванием шаблона Azure Resource Manager для средства необходимо создать регистрацию приложений Microsoft Entra и рабочую область Log Analytics. Для этого вам или администратору требуются следующие разрешения:

• Владелец подписки Azure
• Разрешение на создание ресурсов в своей подписке Azure
• Разрешение на создание приложения Microsoft Entra
• Права владельца или участника RDS

Кроме того, перед началом работы необходимо установить два модуля PowerShell:

• Overview of Azure PowerShell (Общие сведения об Azure PowerShell)
• Azure AD module (Модуль Azure AD)

Убедитесь, что ваш Идентификатор подписки готов для входа в систему.

После того как у вас все упорядочено, вы можете создать регистрацию приложения Microsoft Entra.

Создание регистрации приложения Microsoft Entra

В этом разделе показано, как с помощью PowerShell создать приложение Microsoft Entra с субъектом-службой и получить разрешения API для него.

Примечание.

Разрешения API — виртуальный рабочий стол Azure, Log Analytics и API Microsoft Graph добавляются в приложение Microsoft Entra.

1. Откройте PowerShell от имени администратора.
2. Войдите в Azure с помощью учетной записи с разрешениями владельца или участника в подписке Azure, которую вы хотите использовать для средства диагностика:

   Login-AzAccount
   

3. Войдите в идентификатор Microsoft Entra с той же учетной записью:

   Connect-AzureAD
   

4. Перейдите в Репозиторий RDS-Templates GitHub и запустите скрипт CreateADAppRegistrationforDiagnostics.ps1 в PowerShell.
5. Когда скрипт запросит имя приложения, введите уникальное имя приложения.

Примечание.

Модули Azure AD и MSOnline PowerShell устарели с 30 марта 2024 г. Дополнительные сведения см. в обновлении об отмене. После этой даты поддержка этих модулей ограничена поддержкой миграции в пакет SDK Для Microsoft Graph PowerShell и исправления безопасности. Устаревшие модули будут продолжать функционировать до 30 марта 2025 года.

Рекомендуется перенести в Microsoft Graph PowerShell для взаимодействия с идентификатором Microsoft Entra (ранее — Azure AD). Часто задаваемые вопросы о миграции см. в разделе "Вопросы и ответы о миграции". Примечание. Версии 1.0.x MSOnline могут возникнуть сбоем после 30 июня 2024 г.

После успешного выполнения скрипта, во выходных данных должны отобразиться следующие элементы:

• Сообщение, которое подтверждает, что приложение теперь получило назначение роли субъекта-службы.
• Идентификатор клиента и секретный ключ клиента, которые понадобятся при развертывании средства диагностики.

Теперь, когда приложение зарегистрировано, пришло время настроить рабочую область Log Analytics.

Настройка рабочей области Log Analytics

Для получения наилучшего опыта, рекомендуется настроить рабочую область Log Analytics со следующими счетчиками производительности, они позволяют получить опытные показания от пользователя в удаленном сеансе. Список рекомендуемых счетчиков с рекомендуемыми пороговыми значениями см. в разделе Пороговые значения счетчика производительности Windows.

Создание рабочей области Azure Log Analytics с помощью PowerShell

Вы можете запустить сценарий PowerShell для создания рабочей области Log Analytics и настроить рекомендуемые счетчики производительности Windows, чтобы отслеживать показания пользователя и эффективность работы приложения.

Примечание.

Если у вас уже есть рабочая область Log Analytics, которую вы создали без скрипта PowerShell, и вы хотите использовать именно ее, пропустите Проверку результатов скрипта в портале Azure.

Запустите скрипт PowerShell:

1. Откройте PowerShell от имени администратора.

2. Перейдите в Репозиторий RDS-Templates GitHub и запустите скрипт CreateLogAnalyticsWorkspaceforDiagnostics.ps1 в PowerShell.

3. Введите следующие значения параметров.

   • В поле ResourceGroupNameвведите имя группы ресурсов.
   • В полеLogAnalyticsWorkspaceNameвведите уникальное имя для рабочей области Log Analytics.
   • В поле Расположениевведите регион Azure, который вы используете.
   • Введите Идентификатор подписки Azure, его можно взять на портале Azure в разделе Подписки.

4. Введите учетные данные пользователя с делегированным доступом администратора.

5. Войдите на портал Azure с помощью эти же учетных данных пользователя.

6. Запишите или запомните идентификатор LogAnalyticsWorkspace для последующего использования.

7. Если вы настроили рабочую область Log Analytics с помощью скрипта PowerShell, то счетчики производительности уже должны быть настроены и вы можете пропустить Проверку результатов скрипта в портале Azure. В противном случае перейдите к следующему разделу.

Настройка счетчиков производительности Windows в существующей рабочей области Log Analytics

Этот раздел предназначен для пользователей, желающих использовать существующую рабочую область Azure Log Analytics, созданную без скрипта PowerShell (который был представлен в предыдущем разделе). Если вы не использовали скрипт, необходимо вручную настроить рекомендованные счетчики производительности Windows.

Ниже описывается как настраивать рекомендуемые счетчики производительности вручную:

1. Откройте веб браузер и войдите на портал Azure под учетной записью администратора.

2. Затем перейдите в раздел Рабочие области Log Analytics , чтобы проверить настроенные счетчики производительности Windows.

3. В разделе Параметры выберите Дополнительные параметры.

4. После этого перейдите в раздел Данные>Счетчики производительности Windows и добавьте следующие счетчики:

   • LogicalDisk(*)\% свободного места
   • LogicalDisk(C:)\Средняя длина очереди диска
   • Память(*)\Доступный объем в МБ
   • Сведения о процессоре(*)\Загруженность процессора
   • Задержка данных, введенных пользователем за сеанс (*)\максимальная задержка входных данных

Более подробные сведения о счетчиках производительности см. в Источники данных производительности Windows и Linux в Azure Monitor.

Примечание.

Все счетчики, которые вы настраиваете дополнительно, в средстве диагностики не отображаются. Чтобы сделать их отображаемыми в средстве диагностики, необходимо соответствующим образом настроить файл конфигурации средства. Инструкции по выполнению этого действия с расширенным администрированием будут доступны в GitHub позже.

Проверка результатов скрипта в портале Azure

Прежде чем продолжить развертывание средства диагностика, рекомендуется убедиться, что приложение Microsoft Entra имеет разрешения API, а рабочая область Log Analytics имеет предварительно настроенные счетчики производительности Windows.

Проверьте регистрацию приложения

Чтобы убедиться, что регистрация приложения имеет разрешения API:

1. Откройте браузер и войдите на портал Azure под учетной записью администратора.
2. Перейдите к идентификатору Microsoft Entra.
3. Перейдите в Регистрация приложений и выберите Все приложения.
4. Найдите регистрацию приложения Microsoft Entra с тем же именем приложения, которое вы ввели на шаге 5 регистрации приложения Microsoft Entra.
5. В подписке Azure проверка, что регистрация приложения назначена назначению роли участника.

Проверьте рабочую область Log Analytics

Чтобы убедиться, что в рабочей области Log Analytics есть предварительно настроенные счетчики производительности Windows:

1. На портале Azure перейдите в раздел Рабочие области Log Analytics, чтобы проверить настроены ли счетчики производительности Windows.

2. В разделе Параметры выберите Дополнительные параметры.

3. После этого перейдите в раздел Данные>Счетчики производительности Windows.

4. Убедитесь, что предварительно настроены следующие счетчики:

   • LogicalDisk(*)\% свободного места: отображает объем свободного места на диске в процентах от всего доступного пространства.
   • LogicalDisk(C:)\Средняя длина очереди диска: длина очереди запросов на перемещение для вашего диска C. Значение не должно превышать 2 для периодов, не считающихся короткими периодами времени.
   • Память(*)\Доступный объем в МБ: объем доступной памяти для системы в мегабайтах.
   • Сведения о процессоре(*)\Загруженность процессора: показывает процент времени, который процессор затрачивает на выполнение цепочки задач, без времени простоя.
   • Задержка данных, введенных пользователем за сеанс (*)\максимальная задержка входных данных

Подключение к виртуальным машинам в рабочей области Log Analytics

Чтобы иметь возможность просматривать работоспособность виртуальных машин, необходимо активировать подключение Log Analytics. Для подключения своих виртуальных машин выполните следующие действия:

1. Откройте браузер и войдите на портал Azure под учетной записью администратора.
2. Перейдите в рабочую область Log Analytics.
3. В меню слева в разделе "Источники данных рабочей области" выберите Виртуальные машины.
4. Выберите виртуальную машину, к которой необходимо подключиться.
5. Нажмите Подключиться.

Развертывание средства диагностики

Чтобы развернуть шаблон Azure Resource Manager для средства диагностики:

1. Перейдите на страницу шаблонов RDS-Templates Azure на сайте GitHub.

2. Разверните шаблон в Azure и следуйте инструкциям в этом шаблоне. Убедитесь, что у вас есть следующая информация:

   • Идентификатор клиента
   • Секрет клиента
   • идентификатор рабочей области Log Analytics;

3. После ввода входных параметров примите условия, а затем выберите Покупка.

Развертывание займет 2–3 минуты. После успешного развертывания перейдите в группу ресурсов и убедитесь в наличии ресурсов веб-приложения и плана службы приложения.

После этого необходимо задать URI перенаправления.

Установка URI перенаправления

Чтобы задать URI перенаправления:

1. На портале Azureперейдите в раздел Служба приложений и найдите созданное вами приложение.

2. Перейдите на страницу обзора и скопируйте URL-адрес, который там находится.

3. Перейдите к разделу Регистрация приложений и выберите приложение, которое вы хотите развернуть.

4. На левой панели в разделе Управление выберите Проверка подлинности.

5. Введите нужный URI перенаправления в текстовое поле URI перенаправления, а затем выберите Сохранить в левом верхнем углу меню.

6. Выберите Интернет в раскрывающемся меню в разделе Тип.

7. Введите URL-адрес на странице обзора приложения и добавьте /security/signin-callback в конец этого адреса. Например: https://<yourappname>.azurewebsites.net/security/signin-callback.

   

8. Теперь, перейдите к своим ресурсам Azure, выберите ресурс службы приложений Azure под именем, которое вы указали в шаблоне и перейдите по связанному с ним URL-адресу. (Например, если имя приложения, использованное в шаблоне, имело значение contosoapp45, связанный URL-адрес будетhttp://contoso.azurewebsites.net).

9. Войдите с помощью соответствующей учетной записи пользователя Microsoft Entra.

10. Выберите Принять.

Раздача средства диагностики

Прежде чем сделать средство диагностики доступным для пользователей, убедитесь, что у них есть следующие разрешения:

• Пользователям требуется доступ для чтения в Log Analytics. Дополнительные сведения см. в статье Приступая к работе с ролями, разрешениями и системой безопасности с помощью Azure Monitor.
• Пользователям также требуется доступ для чтения в клиенте Виртуального рабочего стола Azure (роль RDS Reader). Дополнительные сведения см. в статье Делегированный доступ в Виртуальном рабочем столе Azure.

Кроме того, вам необходимо предоставить пользователям следующие сведения:

• URL-адрес приложения
• Имена отдельных клиентов из группы клиентов, к которым у них есть доступ.

Использование средства диагностики

После входа в учетную запись с помощью сведений, полученных от вашей организации, необходимо подготовить UPN для того пользователя, для которого вы хотите запросить действия. При поиске по указанному типу действий будут предоставлены все действия, произошедшие в течение прошлой недели.

Чтение результатов поиска действий

Действия сортируются по метке времени: первым по списку будет стоять последнее действие. Если в результате возвращается ошибка, в первую очередь необходимо проверить, не произошла ли ошибка службы. По ошибкам службы создайте запрос в службу поддержки, включив все сведения об этом действии, это поможет нам при отладке проблемы. Все остальные типы ошибок обычно могут быть решены пользователем или администратором. Список наиболее распространенных сценариев ошибок и способов их решения см. в разделе Определение и диагностика проблем.

Примечание.

Ошибки службы в связанной с ними документации называют "внешними ошибками". При обновлении ссылок PowerShell это будет изменено.

Действия по подключению могут иметь более одной ошибки. Вы можете развернуть тип действия, чтобы увидеть любые другие ошибки, с которыми сталкивается пользователь. Выберите имя кода ошибки, чтобы открыть диалоговое окно для просмотра дополнительных сведений о ней.

Обследование узла сеансов

В результатах поиска найдите и выберите узел сеансов, сведения о котором требуется получить.

Вы можете проанализировать работоспособность узла сеанса:

• на основе предопределенного порогового значения, вы можете получить информацию о работоспособности узла сеанса, которую Log Analytics запрашивает.
• Если действий никаких не происходит или узел сеанса не подключен к Log Analytics, эта информация будет недоступна.

Также, на узле сеансов вы можете взаимодействовать с пользователями:

• Вы можете их вывести из узла при необходимости или отправить сообщение для вошедших пользователей.
• Пользователь, для которого производится поиск, выбирается по умолчанию, но можно также выбирать дополнительных пользователей для отправки им сообщений или для одновременного вывода нескольких пользователей.

Пороговые значения счетчика производительности Windows

• LogicalDisk(*)\% свободного места:

  • Отображает процент общего доступного для использования пространства на логическом диске.
  • Пороговое значение: меньше 20 % помечается как неработоспособное.

• LogicalDisk(C:)\Средняя длина очереди диска:

  • Представляет условия системы хранения.
  • Пороговое значение: меньше 5 % помечается как неработоспособное.

• Память(*)\Доступный объем в МБ:

  • Память, доступная для системы.
  • Пороговое значение: меньше 500 мегабайтов помечается как неработоспособное.

• Сведения о процессоре(*)\Загруженность процессора:

  • Пороговое значение: меньше 80 % помечается как неработоспособное.

• Задержка данных, введенных пользователем за сеанс(*)\Максимальная задержка входных данных:

  • Пороговое значение: меньше 2000 мс помечается как неработоспособное.

Следующие шаги

• Узнайте, как отслеживать журналы действий в статьеИспользование диагностики с помощью Log Analytics.
• Ознакомьтесь с распространенными сценариями ошибок и способами их устранения в статье Обнаружение и диагностика проблем.