使用“Full Configuration”界面

以下信息是对指南的补充创建机器目录．要创建混合Azure AD加入编目，请遵循该文章中的一般指导，注意特定于混合Azure AD加入编目的详细信息。

在目录创建向导中:

在机身份页面,选择加入了混合Azure Active Directory．创建的计算机由组织所有，并使用属于该组织的Active Directory域服务帐户登录。它们存在于云和本地。

注意:

如果你选择加入了混合Azure Active Directory作为标识类型，目录中的每台机器必须具有相应的AD计算机帐户。

使用PowerShell

以下是PowerShell的步骤，相当于完全配置中的操作。有关如何使用Remote PowerShell SDK创建目录的信息，请参见https://developer-docs.citrix.com/projects/citrix-virtual-apps-desktops-sdk/en/latest/creating-a-catalog/．

本地AD加入目录和混合Azure AD加入目录之间的区别在于身份池和机器帐户的创建。

要为混合Azure AD加入目录创建身份池和帐户:

              -命名方案"HybridAAD-VM-##" -命名方案"HybridAAD-VM-##" -命名方案"HybridAAD-VM-##" - ou "CN=AADComputers,DC=corp,DC=local" - scope @() - zoneuid "81291221-d2f2-49d2-ab12-bae5bbd0df05" - count 10 - adusername "corp\admin1" - adpassword $password set - accdaadaccountusercert - identitypoolname "HybridAADJoinedCatalog" - all - adusername"corp\admin1" -ADPassword $password 
             

注意:

美元的密码为具有“写权限”的AD用户对应的密码。

用于创建混合Azure AD加入编目的所有其他命令与传统的本地AD加入编目相同。

查看混合Azure AD加入进程的状态

在“完全配置”界面中，当交付组中的混合Azure AD加入的机器处于开机状态时，可以看到混合Azure AD加入进程的状态。查看状态，使用搜索识别这些机器，然后进行每次检查机身份在细节下窗格中的选项卡。中可以出现以下信息机身份：

混合Azure AD加入
尚未加入Azure AD

注意:

当机器最初启动时，您可能会遇到混合Azure AD加入延迟的情况。这是由默认的机器标识同步间隔(Azure AD Connect的30分钟)造成的。只有通过Azure AD Connect将机器身份同步到Azure AD后，机器才处于混合Azure AD加入状态。

如果机器未能处于混合Azure AD加入状态，则它们不会向交付控制器注册。它们的注册状态显示为初始化．

另外，使用Full Configuration界面，您可以了解机器不可用的原因。要做到这一点，请单击搜索节点,检查登记在细节选项卡，然后阅读工具提示以获取其他信息。

进行故障排除

如果机器无法加入混合Azure AD，请执行以下操作:

检查机器帐户是否已通过Microsoft Azure AD门户同步到Azure AD。如果同步,尚未加入Azure AD出现，指示待处理的注册状态。
要将计算机帐户同步到Azure AD，请确保:
- 机器帐户位于配置为与Azure AD同步的OU中。机器帐户没有userCertificate属性不会同步到Azure AD，即使它们位于配置为同步的OU中。
- 属性userCertificate填充在机器帐户中。使用Active Directory资源管理器查看该属性。
- Azure AD Connect必须在创建计算机帐户后至少同步一次。如果没有，请手动运行start - adsyncsyncycle -PolicyType增量策略命令在Azure AD Connect机器的PowerShell控制台中触发立即同步。
通过查询的值，检查用于混合Azure AD连接的Citrix管理设备密钥对是否正确地推送到机器DeviceKeyPairRestored下HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ \ Citrix的控制．
检查该值是否为1。如果没有，可能的原因是:
- IdentityType与发放方案关联的身份池的HybridAzureAD．您可以通过运行来验证Get-AcctIdentityPool．
- 机器没有使用机器目录的相同配置方案进行配置。
- 机器未加入本地域。本地域加入是混合Azure AD加入的先决条件。
命令来检查诊断消息Dsregcmd /status /debug命令在mcs配置的计算机上执行。
如果混合Azure AD连接成功，AzureAdJoined和DomainJoined是是的在命令行输出中。
如果没有，请参考Microsoft文档来解决问题:https://docs.microsoft.com/en-us/azure/active-directory/devices/troubleshoot-hybrid-join-windows-current．

本内容的官方版本为英文。部分Cloud Software Group文档内容仅为您的方便而进行机器翻译。云软件集团无法控制机器翻译的内容，这些内容可能包含错误、不准确或不合适的语言。对于将英文原文翻译成任何其他语言的准确性、可靠性、适用性或正确性，不作任何形式的明示或暗示保证，也不保证您的Cloud Software Group产品或服务符合任何机器翻译的内容，不保证根据适用的最终用户许可协议或服务条款或与Cloud Software Group签订的任何其他协议提供的任何保证。产品或服务符合任何文件的规定不适用于机器翻译的文件。对于因使用机器翻译的内容而产生的任何损害或问题，云软件集团概不负责。

这有帮助吗?

2023年1月18日

由: