部署指南:为Citrix配置文件管理和Citrix用户个性化层部署Azure文件
Azure Files在云中提供完全托管的文件共享,并使用服务器消息块(SMB)协议进行访问。Azure Files共享可以同时挂载在云和本地、Windows、Linux或macOS上。
Azure文件对内部活动目录域服务身份验证的支持使Citrix用户个性化层和Citrix配置文件管理能够使用Azure文件。有关Active Directory域服务身份验证的详细信息,请参见用于Azure文件共享的SMB上的本地Active Directory服务身份验证。本文解释了如何设置Azure文件,以便与Citrix用户个性化层和Citrix配置文件管理一起使用。
需求
除要求外用户个性化层而且配置文件管理, Azure文件要求您的本地域控制器同步到Azure活动目录。
概述
在设置用户个性化层或配置文件管理之前,请使用以下步骤设置Azure文件:
- 步骤1:将Azure AD与本地AD同步
- 步骤2:创建Azure Files共享
- 步骤3:启用Azure Files AD DS认证
- 步骤4:分配共享级别和NTFS权限
步骤1:将Azure AD与本地AD同步
要使用带有AD身份验证的Azure文件,使用Azure AD Connect将您的本地AD与Azure AD同步。
重要的是:
- Azure AD租户和用于用户个性化层或配置文件管理的文件共享必须与相同的订阅相关联。
- 所使用的帐户必须在域控制器中创建,并同步到Azure AD。来自Azure AD的帐户不合适。
同步完成后,给用户和组一些时间将其复制到Azure AD,然后再继续。
步骤2:创建Azure Files共享
本过程解释如何创建Azure Files文件共享来存储用户层和配置文件。
目前,Azure文件有两层:标准文件和高级文件。根据您的性能需求选择适当的层。有关Azure Files性能的更多信息,请参阅Azure Files可伸缩性和性能目标。
本文档以设置标准存储为例进行说明。
- 打开Azure门户。
- 点击创建资源。
- 选择存储帐户- blob,文件,表,队列。
- 文件中输入以下信息创建存储帐户页面:
- 为资源组,点击创建新的。
- 为存储账户,输入唯一的名称。
- 为位置,我们建议您选择与Azure资源位置中的虚拟交付代理(vda)相同的位置。
- 为性能中,选择标准。(例子的选择)
- 为帐户类型中,选择StorageV2。
- 为复制中,选择本地冗余存储(LRS)。
- 完成后,选择回顾+创建,然后选择创建。
- 一旦存帐备付金,选择转到资源。
- 在概述页面,选择文件共享瓷砖。
- 选择+文件共享。
- 输入一个名字例如,uplfolder。
- 输入合适的配额,或将该字段留空表示没有配额。
- 选择创建。
有关设置标准和高级Azure文件的详细信息,请参阅以下文档:标准而且溢价。
有关详细信息,请参阅创建Azure文件共享。
步骤3:启用Azure Files AD认证
使用本节中的说明启用Azure Files AD身份验证。您需要在任何已经加入域的机器上运行这些命令。此操作是一次性任务。任务完成后,解决方案不再需要用于运行进程的虚拟机。
- 使用RDP (Remote Desktop Protocol)协议连接domain-joined虚拟机。
- 安装AzFilesHybrid模块并启用身份验证,请遵循中的说明为Azure文件共享启用AD DS身份验证。
在继续下一步之前,请验证Azure Files AD身份验证是否已启用,如下所示:
- 打开Azure门户。
- 打开你的存储账户绑定到您的Azure文件。
- 下设置中,选择配置,确认“AD (Active Directory)”已设置为启用。
步骤4:分配共享级别和NTFS权限
在为用户和组分配用户个性化层和配置文件之前,请配置对Azure Files文件共享的适当访问。
重要的是:
要向其分配权限的帐户或组必须在域中创建,并与Azure AD同步。不支持在Azure AD中创建的帐户。
为用户分配共享级别权限
设置共享级别权限的操作步骤如下:
- 打开Azure门户。
- 打开存储账户你在步骤2。
- 选择访问控制(IAM)。
- 选择添加角色分配。
- 在添加角色分配选项卡上,选择存储文件数据SMB共享提升贡献者共享管理员帐户。
- 然后选择存储文件数据SMB共享贡献者对于分配了用户个性化层和配置文件的用户或组。
- 选择保存。
权限最多需要30分钟才能完全生效。在你进行下一步之前,给它一些时间。
详细信息请参见为标识分配共享级权限。
在共享文件夹上配置NTFS权限
分配了文件共享权限后,请配置NTFS权限。
设置目录和文件级别的NTFS权限。
- 打开Azure门户。
- 打开存储账户您在步骤3中创建的。
- 单击文件共享瓷砖
- 例如,单击您创建的共享名称uplshare。
- 点击属性。
- 复制URL链接。
- 复制URL后,将其转换为UNC格式:
- 删除
https://。 - 替换所有正斜杠
//带有反斜杠\\。例如:https://uplshare.file.core.windows.net/uplfolder就变成了uplshare.file.core.windows.net \ \ \ uplfolder。
- 删除
- 使用RDP连接到加入域的虚拟机。
- 打开命令提示符,运行以下cmdlet挂载Azure文件共享并为其分配驱动器号:
net use例子:UNC-path windows.net:\ \\uplshare.file.core.windows.net\uplfolder .net - 挂载共享后,在挂载的共享上设置以下权限。
| 设置名称 | 价值 | 适用于 |
|---|---|---|
| 创造者所有者 | 修改 | 子文件夹和文件 |
| 所有者权益 | 修改 | 子文件夹和文件 |
| 用户或组: | 创建文件夹/追加数据;遍历文件夹/执行文件;列出文件夹/读取数据;读属性 | 仅选择文件夹 |
| 系统 | 完全控制 | 选择文件夹、子文件夹和文件 |
| 域管理员,并选择管理组 | 完全控制 | 选择文件夹、子文件夹和文件 |
设置用户个性化层和配置文件
接下来,您可以配置用户个性化层和配置文件。遵循以下说明部署用户个性化层而且配置文件管理快速入门指南。中描述的UNC路径步骤4为用户层存储库路径。