-
-
-
已加入混合 Azure Active Directory 的计算机身份的身份池
-
This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
已加入混合 Azure Active Directory 的计算机身份的身份池
注意:
自 2023 年 7 月起,Microsoft 已将 Azure Active Directory (Azure AD) 重命名为 Microsoft Entra ID。 在本文档中,任何提及 Azure Active Directory、Azure AD 或 AAD 的内容现在均指 Microsoft Entra ID。
本文介绍如何使用 Citrix DaaS 创建已加入混合 Azure Active Directory 的计算机身份的身份池。
有关要求、限制和注意事项的信息,请参阅 已加入混合 Azure Active Directory.
使用 Studio
以下信息用于补充创建计算机目录中的指导信息。 要创建已加入混合 Azure AD 的目录,请遵循该文章中的一般指导,并注意特定于已加入混合 Azure AD 的目录的详细信息。
在目录创建向导中执行以下操作:
-
在 计算机标识 页:
- 选择身份类型为 已加入混合 Azure Active Directory.
-
选择 Active Directory 帐户选项:
-
创建新的 Active Directory 帐户:
- 如果您选择 创建新的 Active Directory 帐户 并使用现有身份池创建新账户,然后为这些账户选择一个域并指定账户命名方案。
- 如果您选择 创建新的 Active Directory 帐户 并使用现有身份池创建新账户,然后从列表中选择一个身份池。
- 使用现有的 Active Directory 帐户:您可以浏览或从 CSV 文件导入,并重置密码或为所有帐户指定相同的密码。
-
创建新的 Active Directory 帐户:
- 在“等效 CLI 命令”中,查看命令并单击“下一步”。
-
在 域凭证 页面上,选择服务账户或手动输入凭证。 已加入混合 Azure AD 的身份池也可以与本地 AD 服务帐户相关联。 有关服务账户的信息,请参阅 本地 Active Directory 服务帐户.
使用 PowerShell
以下是相当于 Studio 中的操作的 PowerShell 步骤。
已加入本地 AD 的目录与已加入混合 Azure AD 的目录之间的区别在于身份池和计算机帐户的创建。
要创建身份池以及已加入混合 Azure AD 的目录的帐户,请执行以下操作:
New-AcctIdentityPool -AllowUnicode -IdentityType "HybridAzureAD" -Domain "corp.local" -IdentityPoolName "HybridAADJoinedCatalog" -NamingScheme "HybridAAD-VM-##" -NamingSchemeType "Numeric" -OU "CN=AADComputers,DC=corp,DC=local" -Scope @() -ZoneUid "81291221-d2f2-49d2-ab12-bae5bbd0df05"
New-AcctADAccount -IdentityPoolName "HybridAADJoinedCatalog" -Count 10 -ADUserName "corp\admin1" -ADPassword $password
Set-AcctAdAccountUserCert -IdentityPoolName "HybridAADJoinedCatalog" -All -ADUserName "corp\admin1" -ADPassword $password
注意:
$password是具有写入权限的 AD 用户帐户的匹配密码。
用于创建已加入混合 Azure AD 的目录的所有其他命令与用于已加入传统本地 AD 的目录的命令相同。
您还可以通过将本地服务帐户与身份池关联,将本地服务帐户与 MCS 创建的计算机目录相关联。 您可以创建身份池或更新现有身份池,以将其与服务账户关联。
例如:要创建新的身份池并将其与服务账户关联,请运行以下命令:
New-AcctIdentityPool -AllowUnicode -IdentityType "HybridAzureAD" -Domain "corp.local" -IdentityPoolName "HybridAADJoinedCatalog" -NamingScheme "HybridAAD-VM-##" -NamingSchemeType "Numeric" -OU "CN=AADComputers,DC=corp,DC=local" -Scope @() -ZoneUid "81291221-d2f2-49d2-ab12-bae5bbd0df05" -ServiceAccountUid $serviceAccountUid
例如:要更新现有身份池以将其与服务账户关联,请运行以下命令:
$identityPoolUid = (Get-ProvScheme -ProvisioningSchemeName "MyProvScheme").IdentityPoolUid
Set-AcctIdentityPool -IdentityPoolUid $identityPoolUid -ServiceAccountUid $serviceAccountUid
注意:
这
$serviceAccountUid必须是本地 Active Directory 服务帐户的有效 UID。
查看混合 Azure AD 加入过程的状态
在 Studio 中,当交付组中已加入混合 Azure AD 的计算机处于开机状态时,混合 Azure AD 加入过程的状态会显示出来。 要查看状态,请使用 搜索 识别这些计算机,然后针对每项检查 机器身份 在 详 选项卡。 以下信息可以显示在 机器身份:
- 已加入混合 Azure AD
- 尚未加入 Azure AD
注意:
- 当计算机最初开机时,您可能会遇到混合 Azure AD 加入延迟的情况。 这是由默认计算机标识同步间隔(Azure AD Connect 的 30 分钟)引起的。 只有在通过 Azure AD Connect 将计算机标识同步到 Azure AD 后,计算机才处于已加入混合 Azure AD 的状态。
- 如果计算机无法处于已加入混合 Azure AD 的状态,则不会向 Delivery Controller 注册。 他们的注册状态显示为 初始化.
此外,使用 Studio,您可以了解计算机不可用的原因。 为此,请单击 搜索 节点中,选中 注册 在 详 选项卡,然后阅读工具提示以了解更多信息。
故障排除
如果计算机无法加入混合 Azure AD,请执行以下操作:
-
检查计算机帐户是否已通过 Microsoft Azure AD 门户同步到 Azure AD。 如果已同步,则 尚未加入 Azure AD ,指示待注册状态。
若要将计算机帐户同步到 Azure AD,请确保:
- 计算机帐户位于配置为与 Azure AD 同步的 OU 中。 没有 用户证书 属性不会同步到 Azure AD,即使它们位于配置为同步的 OU 中也是如此。
- 属性 用户证书 填充到计算机帐户中。 使用 Active Directory Explorer 查看属性。
- 创建计算机帐户后,Azure AD Connect 必须至少同步一次。 如果没有,请手动运行
Start-ADSyncSyncCycle -PolicyType 增量命令触发立即同步。
-
通过查询 DeviceKeyPair已恢复 下 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Citrix.
验证该值是否为 1。 如果不是,可能的原因包括:
-
身份类型未设置为混合 AzureAD. 可以通过运行Get-AcctIdentityPool来验证这一点。 - 未使用计算机目录的相同置备方案置备计算机。
- 计算机未加入本地域。 加入本地域是混合 Azure AD 加入的先决条件。
-
-
通过运行
dsregcmd /status /debug命令。- 如果混合 Azure AD 加入成功,则 AzureAdJoined 和 域已加入 是 是的 在命令行的输出中。
- 如果没有,请参阅 Microsoft 文档以解决问题: https://docs.microsoft.com/en-us/azure/active-directory/devices/troubleshoot-hybrid-join-windows-current.
-
如果您收到错误消息 服务器消息:在 ID 为:xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx 的设备上找不到用户证书,然后运行以下 PowerShell 命令以修复用户证书:
Repair-AcctIdentity -IdentityAccountName TEST\VM1 -Target UserCertificate
有关用户证书问题的更多信息,请参阅 CTX566696.
This Preview product documentation is Citrix Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Citrix Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Citrix product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.