参考体系结构：使用面向 CSP 的 Azure Active Directory 域服务实现 Citrix DaaS

体系结构

Azure Active Directory 域服务是微软Azure上完全托管的Active Directory服务。不要与Azure AD 混淆，它是针对Microsoft 服务的基于云的身份和身份验证服务，Azure AD 域服务 (ADDS) 提供托管域控制器。Azure ADDS 包括域加入和组策略等企业功能。尽管 Azure AD 利用了 OpenID Connect 和 OAuth 2.0 等现代身份验证和授权协议，但 Azure ADDS 利用依赖 Active Directory 的传统协议，例如 LDAP 和 Kerberos。Azure AD 域服务会自动将身份从 Azure AD 同步到托管 AD 环境。

Azure ADDS 会自动部署和管理 Azure 订阅上的高可用 Active Directory 域控制器。域控制器访问受到限制，您只能通过使用远程服务器管理工具部署管理实例来管理域。此外，在托管服务下，域管理员和企业管理员权限不可用。Azure ADDS 实例直接部署到订阅内的虚拟网络 (VNet)，资源可以部署到同一 VNet 或不同的 VNet 中。如果资源部署到其他 VNet，则必须通过 VNet 对等连接到 Azure ADDS VNet。

Azure ADDS 可以部署为用户林或资源林。对于此实施，我们将 Azure ADDS 部署为用户林，而不对外部本地 AD 环境配置信任。此外，Citrix DaaS 资源是根据我们的CSP 参考体系结构部署的。

架构场景 1

此部署场景意味着以下注意事项：

• Azure AD：
  • 适用于所有客户的共享 Azure AD 租户
• Azure ADDS：
  • 面向所有客户的共享 Azure ADDS 实例
• 订阅：
  • 面向小客户的共享 Azure 订阅
  • 面向大型客户的专用 Azure 订阅
• 网络连接：
  • VNET 对等从专用订阅到 Azure ADDS 连接的共享订阅

架构场景 2

此部署场景意味着以下注意事项：

• Azure AD：
  • 适用于所有客户的共享 Azure AD 租户
  • 面向大型客户的专用 Azure AD 租户
• Azure ADDS：
  • 面向所有客户的共享 Azure ADDS 实例
• 订阅：
  • 面向小客户的共享 Azure 订阅
  • 面向大型客户的专用 Azure 订阅
• 网络连接：
  • VNET 对等从专用订阅到 Azure ADDS 连接的共享订阅

架构场景 3

此部署场景意味着以下注意事项：

• Azure AD：
  • 适用于所有客户的共享 Azure AD 租户
  • 面向大型客户的专用 Azure AD 租户
• Azure ADDS：
  • 面向小型客户的共享 Azure ADDS 实例
  • 面向大型客户的专用 Azure ADDS 实例
• 订阅：
  • 面向小客户的共享 Azure 订阅
  • 面向大型客户的专用 Azure 订阅
• 网络连接：
  • 没有从专用订阅到共享订阅的 VNET 对等

Azure 资源层次结构

设计和组织 Azure 订阅资源时，请考虑以下资源层次结构：

初步假设

Azure ADDS

• Azure AD 租户存在
• Azure 订阅存在
• 具有以下权限的 Azure AD 帐户可用：
  • Azure AD：全局管理员
  • 订阅：贡献者
• Azure ADDS 将作为独立用户林部署，不会配置任何信任
• 虽然这是可能的，但现有 AD 用户将不会通过 Azure AD Connect 进行同步
• 将部署自助服务密码重置以强制重置密码以进行密码哈希同步

Citrix Cloud

• Citrix Cloud 订阅可用
• 将部署 Citrix Cloud Connector
• 将部署 VDA 主映像
• Azure 托管连接将被配置
• 将配置计算机目录和交付组

术语

以下是您需要理解的最常见的 Azure 术语，如 Azure 文档中所述：

• Azure 订阅：Azure 订阅是与Microsoft 签订的使用 Azure 服务的协议。账单与基于所使用的资源的订阅相关联，如果没有订阅，则无法部署资源。通过订阅，您可以组织对资源的访问。订阅类型包括试用版、即用即付、企业协议和 MSDN，每种订阅类型都可以有不同的付款设置。Azure 订阅必须与 Azure AD 租户绑定。
• Azure AD：Azure AD 是Microsoft 面向用户、组和设备的基于云的身份管理服务。Azure AD 不能被视为传统 Active Directory 域服务的替代品，因为它不支持 LDAP 或 Kerberos。多个 Azure 订阅可以绑定到单个 Azure AD 租户。Azure AD 提供不同类型的许可证（免费、高级版 1 和高级版 2），这些许可证根据许可级别提供不同的功能。
• 管理组：Azure 管理组是允许您跨多个订阅管理访问、策略和合规性的容器。管理组可以包含订阅或其他管理组。
• Azure RBAC：Azure RBAC 用于管理 Azure 资源的授权。Azure RBAC 包含 70 多个内置角色，允许您创建自定义角色以根据自己的要求管理资源的授权。权限从管理组级联到订阅、资源组的订阅以及从资源组到资源组的级联。所有者 RBAC 角色为 Azure 资源提供最高级别的权限，还允许您管理其他用户的资源权限。
• Azure AD 角色：Azure AD 角色用于管理与 Azure AD 相关的操作，例如创建用户、组、应用程序注册、与 API 的交互等。全局管理员角色授予 Azure AD 中最高级别的授权，包括访问所有 Azure AD 功能、管理角色和其他用户的许可等。全局管理员角色会自动分配给首先创建 Azure AD 租户的用户。
• 自定义 Azure AD 域：所有新的 Azure AD 租户都在 onmicrosoft.com 域下创建，可以通过向域注册商验证所有权来配置自定义域。
• 资源组：资源组是逻辑容器，用于在 Azure 中组织资源并通过 RBAC 管理其权限。通常，资源组中的资源共享类似的生命周期。资源组不能包含其他资源组，除非指定资源组，否则无法创建 Azure 资源。资源组部署到 Azure 区域时，它可以包含来自不同区域的资源。
• VNET：Azure VNET 是一种软件定义的网络，允许您在 Azure 中的隔离地址空间下管理和部署资源。VNet 允许资源与同一 VNET、互联网、其他 VNet 中的资源或本地的其他资源进行通信。VNet 的访问是通过网络安全组保护的，您还可以通过实施用户定义的路由来配置路由。Azure VNet 是第 3 层叠加层，因此他们无法理解 VLAN 或 GARP 等任何第 2 层语义。所有 VNet 都包含一个主地址空间，并且必须至少包含一个带有地址空间的子网。VNET 中的虚拟机 IP 未连接到实际的虚拟机实例，它们被分配给作为独立资源进行管理的虚拟机网卡。
• VNET 对等互连：对等互连允许 2 个 VNet 通过 Azure 骨干进行连接和通信，而传统的 VNET 到 VNet 连接则通过公共互联网路由流量。Peerings 允许低延迟，可以在不同区域、不同的订阅甚至不同的 Azure AD 租户之间进行配置。默认情况下，对等连接是非传递的，需要高级配置才能更改此行为。在中心和分支架构中，辐射式 VNET 只能与中心通信，但无法与其他辐条中的资源进行通信。
• 网络安全组：网络安全组 (NSG) 是一组规则，使您能够控制对 VNET 内资源的入站和出站访问，这些资源可以附加到子网或 NIC。网络安全组内的入站和出站规则是独立管理的，所有规则的优先级必须为 100 和 4096。默认情况下，网络安全组包括一组默认规则，允许同一 VNET 中的资源之间的流量、出站 Internet 访问等。网络安全组与操作系统级防火墙配置没有任何关系，作为经验法则，建议在设计网络安全组时采用零信任方法。
• 应用程序注册：应用程序注册是允许外部应用程序与 Azure API 交互的 Azure AD 帐户。创建应用程序注册后，Azure AD 会生成应用程序 ID 和密码，充当用户名和密码。在此实施中，将创建应用程序注册，以允许 Citrix Cloud 与 Azure 交互并执行计算机创建和电源管理任务。

Azure ADDS 注意事项

• Azure ADDS 自动同步来自 Azure AD 的用户身份
• 从 Azure AD 到 Azure ADDS 的同步工作，而不是相反的方式
• 它可以利用在云中创建的用户，也可以利用通过 Azure AD Connect 同步的用户
• Azure AD 连接无法安装在 Azure ADDS 环境中以将对象同步回 Azure AD
• LDAP 写入函数仅适用于直接在 ADDS 上创建的对象，不适用于从 Azure AD 同步的用户
• Azure ADDS 只能用作独立域（一个林，仅限一个域），而不能用作本地域的扩展
• 该服务部署在 Azure 可用区域（如果可用）
• 默认情况下 Azure ADDS 作为用户林部署，在撰写本文时，资源林部署模型处于预览状态
• 对于从 Azure AD 同步的用户，密码哈希在用户重置密码之前不会同步，Azure 自助服务密码重置用于帮助用户重置密码。
• 在部署 Azure ADDS 实例时创建的 AAD DC 管理员组无法在 ADUC 内编辑。AAD DC 管理员组只能从 Azure 控制台的 Azure AD 组中进行编辑
• 对于从 Azure AD 同步的用户：
  • 无法从 ADUC 控制台重置密码
  • 无法移动到其他 OU
  • 这些用户通常用于作为 CSP 管理 Azure ADDS 实例，最终客户用户可以在 ADUC 内部创建
• GPO 可以创建并链接到预先创建的 AADDC 计算机和 AADC 用户组织单位，而不是其他预先创建的 OU
  • 您可以创建自己的 OU 结构并部署 GPO
  • 无法创建域和站点级别的 GPO
• 通过在新 OU 上使用控制委派向导可以实现 OU 锁定
  • 不适用于预先创建的 OU

登录过程注意事项

Azure ADDS 会从创建的 Azure AD 租户中同步用户帐户。它包括使用自定义域创建的帐户、使用初始 onmicrosoft.com 域创建的帐户以及 B2B 帐户（作为访客添加到 Azure AD 的外部帐户）。根据用户帐户的类型，用户将有不同的登录体验：

• 自定义域帐户：
  • 使用 UPN (user@domain.com) 登录：登录成功
  • 使用 NetBIOS（域\ 用户）登录：登录成功
• 在Microsoft 域名帐户：
  • 使用 UPN (user@domain.onmicrosoft.com) 登录：登录失败(1)
  • 使用 NetBIOS（域\ 用户）登录：登录成功(2)
• B2B 帐户（来宾）：
  • 使用 UPN (user@domain.com) 登录：登录失败
  • 使用 NetBIOS（域\ 用户）登录：登录失败(3)

注意：
(1)Azure ADDS 上不允许添加备用 UPN 名称，因此这些用户无法通过 UPN 登录。

( 2)这可以正常工作,因为NetBIOS名称对所有用户都是相同的。

( 3)这些用户无法针对 Azure 添加进行身份验证，即使他们已同步，Azure 无权访问其密码哈希。

实现

Azure 组件

步骤 1：为 Azure 创建资源组 ADDS

1-在 Azure 门户菜单上，选择资源组，然后单击添加

注意事项：

• 此步骤假定已创建 Azure 订阅并准备好部署资源。

2-在“基本信息”选项卡上，输入以下信息，然后单击“查看 + 创建”

• 订阅
• 资源组名称
• 资源组区域

3-在评论 + 创建选项卡上，单击创建

注意事项：

• 重复这些步骤为客户资源、网络等创建资源组。
• 或者，您可以预先创建供 Citrix Machine Creation Services 使用的资源组。Machine Creation Services (MCS) 只能使用空资源组。

步骤 2：创建 Azure ADDS VNet

1-在 Azure 门户菜单上，选择虚拟网络，然后单击添加。

2-在“基本信息”选项卡上，输入以下信息，然后单击“下一步：IP 地址：

• 订阅
• 资源组名称
• VNET 名称
• VNET 地区

3-在“IP 地址”选项卡上，输入以下信息，然后单击“下一步：安全性：

• IPv4 地址空间
• 添加子网

注意事项：

• 根据您的网络设计决策添加子网。在这种情况下，我们将为 ADDS 服务添加一个子网，以及共享基础架构资源（包括 Citrix Cloud Connector、主映像等等）的子网。

4-在安全选项卡上，根据需要配置DDoS 和防火墙，然后单击查看 + 创建

5-在“查看 + 创建”选项卡上，单击“创建”。

注意事项：

• 重复这些步骤以在同一订阅或任何其他订阅中创建客户网络。

步骤 3：配置 VNet Peerings

1-在 Azure 门户菜单上，选择虚拟网络，然后选择将在其中部署 ADDS 的VNET。

注意事项：

• 对于此实施，网络是在中心和分支架构中设计的。VNET 对等互连将从 Azure ADDS 网络（中心）配置到客户网络（辐条）。
• 默认情况下，VNET 对等体不是可传递的，因此除非有意配置，否则分支网络无法相互通信。
• 如果在不同的 Azure 订阅和 Azure AD 租户上对等网络：
  • 用户必须在相反订阅中添加为访客用户，并授予对等网络的 RBAC 权限。
  • 必须在两端正确配置网络安全组。

2-在 VNET 刀片式服务器上，单击Peerings和添加。

3-在添加对等互连刀片上，输入以下信息：

• 从源 VNET 到目标 VNET 的对等互连的名称
• 订阅
• 目标虚拟网络
• 从目标 VNET 到源 VNET 的对等互连的名称

4-向下滚动并单击“确定”

注意事项：

• 重复这些步骤以对等其他客户（分支）网络。

步骤 4：创建 Azure AD 域服务实例

1-在 Azure 搜索栏上，键入域服务，然后单击Azure AD 域服务

2-在 Azure AD 域服务页面上，单击+ 添加。

3-在“基础”选项卡上，输入以下信息，然后单击“下一步”：

• 订阅
• 资源组名称
• DNS 域名
• 地理区域
• SKU
• 森林类型

注意事项：

• AAD DS 实例区域必须与您在之前步骤中预先创建的网络的区域相匹配。
• 用户林是 Azure ADDS 上的默认林类型，它们将所有 Azure AD 用户帐户同步到 Azure ADDS，以便他们根据 Azure ADDS 实例进行身份验证。此模型假定用户密码哈希可以同步。
• 资源林：是最近支持的森林类型，已预览。在此部署模型下，Azure ADDS 用于管理计算机帐户。单向信任是从 Azure ADDS（信任域）配置到本地 AD 环境（受信任域）的。使用此配置，本地环境中的用户帐户可以登录到 Azure 中托管的加入到 Azure ADDS 域的资源。这种类型的林假定已配置到本地域的网络连接。

4-在“网络”选项卡上，输入以下信息，然后单击“下一步”：

• 虚拟网络
• 子网

5-在管理选项卡上，单击管理组成员资格

6-在成员刀片上，单击+ 添加成员

7-在添加成员刀片上，搜索要添加为 AAD DC 管理员组成员的帐户。

8-添加用户后，单击选择

9-返回“管理”选项卡，单击“下一步”

注意事项：

• AAD DC 管理员组成员资格只能从 Azure AD 进行管理，无法通过 Azure ADDS 实例的 ADUC 控制台进行管理。

10-在同步选项卡上，单击下一步

注意事项：

• 通过选择范围的同步类型，可以选择此页面来选择要同步到 Azure ADDS 的 Azure AD 对象。

11-在评论选项卡上，单击创建

12-在确认弹出窗口中，单击确定

注意事项：

• 创建 Azure ADDS 实例的过程最多可能需要 1 小时。

步骤 5：为 Azure 配置 DNS ADDS VNET

1-创建 Azure ADDS 实例后，在更新虚拟网络的 DNS 服务器设置下，单击配置

注意事项：

• 此步骤将自动配置创建 Azure ADDS 实例的 VNET 的 DNS 设置（中心网络）。配置完成后，所有 DNS 查询都将转发到受管域控制器。
• 客户网络（辐条）必须手动更新其 DNS 设置。

步骤 6：为客户网络配置 DNS

1-在 Azure 门户菜单上，选择虚拟网络，然后选择您的客户（辐条）VNET。

2-在 VNET 刀片式服务器上，单击DNS 服务器，选择自定义，输入受管域控制器的 IP 地址，然后单击保存

注意事项：

• 对每个客户（分支式）VNET 以及与托管 Azure ADDS 实例的 VNET 对等的任何其他外部 VNET 重复这些步骤。

步骤 7：配置自助服务密码重置 (SSPR)

1-在 Azure 门户菜单上，选择Azure Active Directory，然后单击密码重置

注意事项：

• 当 Azure AD 用户最初同步到 Azure ADDS 时，他们的密码哈希不会同步，因此，用户必须重置密码才能进行此操作。SSPR 用于允许用户以简单而安全的方式重置密码。
• 在执行此步骤之前，针对 Azure ADDS 的用户身份验证不起作用。
• 只有在之前未配置 SSPR 的情况下，才需要执行启用 SSPR 的步骤。
• 仅当 Azure AD 用户是从 Azure 门户管理的（而不是通过 Azure AD Connect 从内部 AD 同步的用户）时，才需要执行此步骤。对于通过 Azure AD 连接从本地 AD 同步的用户，请按照以下步骤操作。

2-在属性刀片上，选择全部，然后单击保存。

注意事项：

• 您可以选择选择“已选定”以仅对一部分用户启用 SSPR。
• 用户下次登录时，他们将被迫注册到 SSPR。

步骤 8：SSPR 用户注册流程

1-当用户登录时，他们将被重定向到SSPR 注册屏幕并配置身份验证方法。

注意事项：

• 可以在 Azure 门户的 SSPR 配置刀片上选择 SSPR 身份验证方法。
• 在本示例中，已使用基本设置启用了 SSPR，这需要配置电话和电子邮件。

2-一旦用户输入身份验证信息，SSPR 注册过程就完成。

3-用户现在可以导航到自助服务密码重置以重置密码。

注意事项：

• 完成此步骤并且用户重置密码后，密码哈希将从 Azure AD 同步到 Azure ADDS。
• 对于已同步的用户，无法使用 ADUC 重置密码。

步骤 9：创建 AD 管理虚拟机

1-在 Azure 门户菜单上，选择虚拟机，然后单击添加

2-在“基础”选项卡上，输入以下信息，然后单击“下一步：磁盘：

• 订阅
• 资源组
• VM 名称
• 地理区域
• 可用性选项
• 映像
• 大小
• 管理员帐户详情

3-在磁盘选项卡上，输入操作系统磁盘类型，然后单击下一步：网络连接

4-在网络选项卡上，配置以下信息，然后单击下一步：管理：

• 虚拟网络
• 子网
• 公用 IP（如果适用）
• 网络安全组

5-在管理选项卡上，配置以下信息，然后单击下一步：高级：

• 监视
• 自动关机
• 备份

6-在“高级”选项卡上，保留默认设置，然后单击“下一步：标签”

7-在标签选项卡上，为虚拟机实例创建任何必需的标签，然后单击下一步：查看 + 创建

8-在查看 + 创建选项卡上，确保所有信息都正确，然后单击创建

注意事项：

• 重复上述步骤以创建所有其他虚拟机：Cloud Connector、主映像等等。

步骤 10：将管理虚拟机加入域

1-通过 RDP 连接到实例并打开服务器管理器，然后单击添加角色和功能

2-在添加角色和功能向导中，添加以下功能：

• 角色管理工具
• ADDS 和 AD LDS 工具
• 适用于 Windows PowerShell 的 Active Directory 模块
• AD DS 工具
• AD DS 管理单元和命令行工具
• 组策略管理控制台 (GPMC)
• DNS 管理器

3-安装完成后，将虚拟机加入 Azure ADDS 域。

注意事项：

• 重复上述步骤，将所有其他虚拟机加入 Azure ADDS 域。
• 只有用于管理 Azure ADDS 实例的虚拟机才需要安装 RSAT 工具。
• 在尝试执行这些步骤之前，请确保用于将虚拟机加入 Azure ADDS 域的用户帐户的密码已重置。

步骤 11：创建 Azure AD 应用程序注册

1-在 Azure 门户菜单上，选择Azure Active Directory > 应用注册 > + 新注册

2-在注册应用程序刀片上，输入以下信息，然后单击注册：

• 应用程序名称
• 支持的帐户类型
• 重定向 URL
  • Web
  • “https://citrix.cloud.com”

3-在概览刀片上，将以下值复制到记事本：

• 应用程序（客户端）ID
• 目录（租户）ID

注意事项：

• 稍后将在为 Citrix MCS 创建托管连接以管理 Azure 资源时使用应用程序 ID 和目录 ID 值。

4-点击证书和秘密然后+ 新客户端密钥

5-在添加客户端密钥弹出窗口中，输入描述和过期，然后单击添加

6-返回证书和密钥屏幕，复制客户端密码的值

注意事项：

• 尽管客户端 ID 充当应用程序注册的用户名，但客户端密钥充当密码。

7-点击API 权限然后添加权限

8-在请求 API 权限刀片上，在我的组织使用的 API下搜索Windows Azure，然后选择Windows Azure Active Directory

9-在 Azure Active Directory 图形 API 刀片上，选择委派权限，分配读取所有用户的基本配置文件权限，然后单击添加权限

10-返回请求 API 权限刀片，在我的组织再次使用搜索Windows Azure的 API下，然后选择Windows Azure 服务管理 API

11-在 Azure 服务管理 API 刀片上，选择委派权限，将访问 Azure 服务管理作为组织用户分配权限，然后单击添加权限

12-在 Azure 门户菜单上，单击订阅并复制订阅 ID的值

注意事项：

• 复制用于通过 Citrix MCS 管理资源的所有订阅的值。每个 Azure 订阅的托管连接必须独立配置。

13-选择您的订阅，然后选择访问控制 (IAM) > + 添加 > 添加角色分配

14-在添加角色分配刀片上，将参与者角色分配给新应用程序注册，然后单击保存

注意事项：

• 重复此步骤可将参与者权限添加到任何其他订阅的注册中。
• 如果使用属于单独 Azure AD 租户的辅助订阅，则必须配置新的应用程序注册。

Citrix 组件

步骤 1：安装 Cloud Connector

1-通过 RDP 连接到 Cloud Connector 虚拟机，然后使用 Web 浏览器导航到Citrix Cloud。输入您的 Citrix Cloud 凭据，然后单击登录

2-在域名下，点击添加新

3-在“身份和访问管理”下的域选项卡上，单击+ 域

4-在添加 Cloud Connector 窗口中，单击下载

5-将 cwcconnector.exe 文件保存到实例中。

6-右键单击cwcconnector.exe文件，然后选择以管理员身份运行

7-在 Citrix Cloud Connector 窗口中，单击登录

8-在登录窗口中，输入您的Citrix Cloud凭据，然后单击登录

9-安装完成后，单击“关闭”

注意事项：

• Cloud Connector 安装最多可能需要 5 分钟的时间。
• 每个资源位置必须至少配置 2 个Cloud Connector。

步骤 2：配置 VDA 主映像

1-通过 RDP 连接到 Citrix VDA 主映像虚拟机，然后使用网络浏览器导航到Citrix 下载并下载最新的Citrix VDA 版本

注意事项：

• 下载 VDA 软件需要 Citrix 凭据。
• 可以安装 LTSR 或 CR 版本。
• 必须为服务器和桌面操作系统计算机下载单独的 VDA 安装程序。

2-右击 VDA 安装程序文件，然后选择以管理员身份运行

3-在环境页面上，选择创建主 MCS 映像

4-在核心组件页面上，单击下一步

5-在其他组件页面上，选择最适合您的要求的组件，然后单击下一步

6-在 Delivery Controller 页面上，输入以下信息，然后单击下一步：

• 选择“手动执行”
• 输入每个云连接器的 FQDN
• 单击测试连接然后单击添加

7-在功能页面上，根据部署需求选中要启用的功能的复选框，然后单击下一步

8-在防火墙页面上，选择自动，然后单击下一步

9-在摘要页面上，确保所有详细信息都正确无误，然后单击安装

10-虚拟机将在安装过程中重新启动

11-安装完成后，在诊断页面上，选择最适合您的部署需求的选项，然后单击下一步

12-在“完成”页面上，确保选中“重启计算机”，然后单击“完成”

步骤 3：创建 Azure 托管连接

1-在 Citrix Cloud 汉堡包菜单上，导航到我的服务 > DaaS

2-在 Web Studio 中，导航到“托管”，然后选择“添加连接和资源”

4-在连接页面上，单击创建新连接旁边的单选按钮，输入以下信息，然后单击下一步：

• 区域
• 连接类型
• Azure 环境

5-在连接详细信息页面上，输入以下信息，然后单击使用现有信息：

• 订阅 ID
• 连接名称

6-在现有服务主体页面上，输入以下信息，然后单击确定：

• Active Directory ID
• 应用程序 ID
• 应用程序机密

7-返回连接详细信息页面，单击下一步

8-在区域页面上，选择部署 Cloud Connector 和 VDA 的区域，然后单击下一步

9-在网络页面上，输入资源的名称，选择适当的虚拟网络和子网，然后单击下一步

10-在“摘要”页面上，确保所有信息正确无误，然后单击“完成”

步骤 4：创建计算机目录

1-在 Web Studio 中，导航到计算机目录，然后选择创建计算机目录

2-在简介页面上，单击下一步

3-在操作系统页面上，选择适当的操作系统，然后单击下一步

注意事项：

• 随后的屏幕将根据在此页面中选择的操作系统类型而略有不同。

4-在计算机管理页面上，选择以下信息，然后单击下一步：

• 计算机目录将使用：受电源托管的计算机
• 使用：Citrix Machine Creation Services (MCS) 部署计算机
• 资源：选择您的 Azure 托管连接

5-在桌面体验页面上，选择最适合您的要求的选项，然后单击下一步

6-在主映像页面上，选择主映像、功能级别（VDA 版本），然后单击下一步

7-在存储和许可证类型上，选择最适合您的要求的选项，然后单击下一步

8-在虚拟机页面上，配置要部署的虚拟机数量、机器大小，然后单击下一步

9-在网络接口卡页面上，根据需要添加NIC，然后单击下一步

10-在“写回缓存”页面上，选择写缓存选项，然后单击下一步

11-在资源组页面上，选择为 Citrix MCS 资源创建新资源组或使用预先创建的资源组。

注意事项：

• 现有资源组列表中仅显示空资源组。

12-在 Active Directory 计算机帐户页面上，配置以下选项，然后单击下一步：

• 帐户选项：创建新的 AD 帐户
• 域：选择您的域
• OU：存储计算机帐户的 OU
• 命名方案：要使用的命名约定

注意事项：

• 数字将取代命名方案上的英镑标志
• 创建命名方案时，请注意 NetBIOS 的 15 个字符限制

13-在域凭证页面上，单击输入凭据

14-在 Windows 安全弹出窗口中，输入您的域凭据，然后单击“完成”

15-在摘要页面上，输入名称和描述，然后单击完成

步骤 5：创建交付组

1-在 Web Studio 中，导航到交付组，然后选择创建交付组

2-在计算机页面上，选择计算机目录、计算机数量，然后单击下一步

3-在用户页面上选择一个身份验证选项，然后单击下一步

4-在应用程序页面上，单击添加

5-在添加应用程序页面上，选择要发布的应用程序，然后单击确定

注意事项：

• 虽然大多数应用程序将通过开始菜单显示，但您也可以选择手动添加应用程序
• 如果您不需要发布无缝应用程序，则可以跳过此步骤。

7-返回应用程序页面，单击下一步

8-在桌面页面上，单击添加

9-在添加桌面页面上，配置桌面，然后单击确定

注意事项：

• 如果您不需要发布完整的桌面，则可以跳过此步骤。

10-返回桌面页面，单击下一步

11-在摘要页面上，输入名称和描述，然后单击完成