在本文中,你将了解如何为 Microsoft Entra Kerberos 身份验证创建和配置 Azure 文件共享。 借助此配置,可以存储 FSLogix 配置文件,这些配置文件可由已加入 Microsoft Entra 或已加入 Microsoft Entra 混合的会话主机中的混合用户标识访问,而无需域控制器的网络视距。 通过 Microsoft Entra Kerberos,Microsoft Entra ID 能够发出必要的 Kerberos 票证,以通过行业标准 SMB 协议访问文件共享。
使用 Azure 文件存储和 Microsoft Entra ID 创建配置文件容器
先决条件
在部署此解决方案之前,请验证你的环境是否满足要求,以使用 Microsoft Entra Kerberos 身份验证配置 Azure 文件存储。
当用于 Azure 虚拟桌面中的 FSLogix 配置文件时,会话主机不需要具有域控制器 (DC) 的网络视线。 但是,需要具有 DC 网络视线的系统来配置 Azure 文件存储共享的权限。
配置 Azure 存储帐户和文件共享
若要在 Azure 文件共享上存储 FSLogix 配置文件,请执行以下操作:
创建 Azure 存储帐户(如果还没有)。
注意
Azure 存储帐户不能使用 Microsoft Entra ID 和第二种方法(如 Active Directory 域服务 [AD DS] 或 Microsoft Entra 域服务)进行身份验证。 只能使用一种身份验证方法。
在你的存储帐户下创建一个 Azure 文件共享来存储你的 FSLogix 配置文件(如果还没有)。
在 Azure 文件存储上启用 Microsoft Entra Kerberos 身份验证,以启用从已加入 Microsoft Entra 的 VM 进行访问。
- 配置目录和文件级权限时,请查看配置配置文件容器的存储权限中建议的 FSLogix 配置文件权限列表。
- 如果未设置适当的目录级别权限,用户可以删除用户配置文件或访问其他用户的个人信息。 请确保用户具有适当的权限以防止发生意外删除,这一点很重要。
配置会话主机
要从已加入 Microsoft Entra 的 VM 访问 FSLogix 配置文件的 Azure 文件共享,必须配置会话主机。 配置会话主机:
使用以下方法之一启用 Microsoft Entra Kerberos 功能。
在会话主机上启用此组策略。 路径为以下路径之一,具体取决于在会话主机上使用的 Windows 版本:
Administrative Templates\System\Kerberos\Allow retrieving the cloud kerberos ticket during the logon
Administrative Templates\System\Kerberos\Allow retrieving the Azure AD Kerberos Ticket Granting Ticket during logon
-
- 在会话主机上创建以下注册表值:
reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters /v CloudKerberosTicketRetrievalEnabled /t REG_DWORD /d 1
- 在会话主机上创建以下注册表值:
将 Microsoft Entra ID 与 FSLogix 等漫游配置文件解决方案一起使用时,凭据管理器中的凭据密钥必须属于当前正在加载的配置文件。 这将使你可以在许多不同的虚拟机上加载你的配置文件,而不是仅限于一个。 要启用此设置,请通过运行以下命令创建新的注册表值:
reg add HKLM\Software\Policies\Microsoft\AzureADAccount /v LoadCredKeyFromProfile /t REG_DWORD /d 1
注意
会话主机不需要通过网络来查看域控制器。
在会话主机上配置 FSLogix
本节将演示如何使用 FSLogix 配置 VM。 每次配置会话主机时,都需要遵循以下说明。 有几个可用选项可以确保在所有会话主机上都设置了注册表项。 可以在映像中设置这些选项或配置组策略。
配置 FSLogix:
如果需要,在会话主机上更新或安装 FSLogix。
注意
如果使用 Azure 虚拟桌面服务创建会话主机,FSLogix 应该已预安装。
按照配置配置文件容器注册表设置中的说明来创建 Enabled 和 VHDLocations 注册表值。 将 VHDLocations 的值设置为
\\<Storage-account-name>.file.core.chinacloudapi.cn\<file-share-name>
。
测试部署
安装并配置 FSLogix 后,可以通过使用已分配到主机池上的应用程序组的用户帐户登录来测试部署。 你登录时使用的用户帐户必须具有使用文件共享的权限。
如果用户之前已登录,他们将拥有服务将在此会话期间使用的现有本地配置文件。 若要避免创建本地配置文件,请创建一个用于测试的新用户帐户,或者使用教程:配置配置文件容器来重定向用户配置文件中所述的配置方法,以启用 DeleteLocalProfileWhenVHDShouldApply 设置。
最后,验证用户成功登录后在 Azure 文件存储中创建的配置文件:
打开 Azure 门户并使用管理帐户登录。
选择边栏中的“存储帐户”。
选择你为会话主机池配置的存储帐户。
从边栏中选择“文件共享”。
选择配置用于存储配置文件的文件共享。
如果一切都设置正确,你应该会看到一个目录,它的名称格式如下:
<user SID>_<username>
。