产品文档
Citrix Virtual Apps and Desktops
Current Release Service 2511 2507 LTSR 2503 2411 2407 2402 LTSR 2311 2203 LTSR
查看 PDF

Microsoft Entra 混合加入的计算机身份的身份池

May 31, 2026
投稿者: 
C

本文介绍了如何创建 Microsoft Entra 混合加入目录。

有关要求、限制和注意事项的信息,请参阅 Microsoft Entra 混合加入

使用 Web 工作室

以下信息是对 创建计算机目录 中指南的补充。要创建混合 Azure AD 加入目录,请遵循该文章中的一般指南,同时注意混合 Azure AD 加入目录的特定详细信息。

在目录创建向导中:

  • “计算机身份” 页面上,选择 “Microsoft Entra 混合加入”。创建的计算机归某个组织所有,并使用属于该组织的 Active Directory 域服务帐户登录。它们存在于云端和本地。

注意:

如果选择 “Microsoft Entra 混合加入” 作为身份类型,则目录中的每台计算机都必须具有相应的 AD 计算机帐户。

使用 PowerShell 脚本命令行工具

以下是与 Web Studio 中的操作等效的 PowerShell 步骤。有关如何使用远程 PowerShell SDK 创建目录的信息,请参阅 https://developer-docs.citrix.com/projects/citrix-virtual-apps-desktops-sdk/en/latest/creating-a-catalog/

本地 AD 加入目录与 Microsoft Entra 混合加入目录之间的区别在于身份池和计算机帐户的创建。

要为 Microsoft Entra 混合加入目录创建身份池和帐户,请执行以下操作:

New-AcctIdentityPool -AllowUnicode -IdentityType "HybridAzureAD" -Domain "corp.local" -IdentityPoolName "HybridAADJoinedCatalog" -NamingScheme "HybridAAD-VM-##" -NamingSchemeType "Numeric" -OU "CN=AADComputers,DC=corp,DC=local" -Scope @() -ZoneUid "81291221-d2f2-49d2-ab12-bae5bbd0df05"
New-AcctADAccount -IdentityPoolName "HybridAADJoinedCatalog" -Count 10 -ADUserName "corp\admin1" -ADPassword $password
Set-AcctAdAccountUserCert -IdentityPoolName "HybridAADJoinedCatalog" -All -ADUserName "corp\admin1" -ADPassword $password
<!--NeedCopy-->

注意:

$password 是具有写入权限的 AD 用户帐户的匹配密码。

所有其他用于创建 Microsoft Entra 混合加入目录的命令与传统本地 AD 加入目录的命令相同。

查看 Microsoft Entra 混合加入过程的状态

在 Web Studio 中,当交付组中的 Microsoft Entra 混合加入计算机处于开机状态时,可以查看 Microsoft Entra 混合加入过程的状态。要查看状态,请使用 搜索 识别这些计算机,然后对于每台计算机,检查下部窗格中“详细信息”选项卡上的“计算机身份”。以下信息可能会显示在“计算机身份”中:

  • 微软 Entra 混合加入
  • 尚未加入 Azure 活动目录

注意:

  • 计算机首次开机时,您可能会遇到 Microsoft Entra 混合加入延迟的情况。这是由默认的计算机身份同步间隔(Microsoft Entra Connect 的 30 分钟)引起的。计算机仅在通过 Microsoft Entra Connect 将计算机身份同步到 Microsoft Entra ID 后才处于 Microsoft Entra 混合加入状态。
  • 如果计算机未能处于 Microsoft Entra 混合加入状态,它们不会向 Delivery Controller 注册。它们的注册状态显示为“初始化”。

此外,您还可以使用 Web Studio 了解计算机不可用的原因。为此,请在“搜索”节点上单击一台计算机,检查下部窗格中“详细信息”选项卡上的“注册”,然后阅读工具提示以获取更多信息。

故障排除

如果计算机未能进行 Microsoft Entra 混合加入,请执行以下操作:

  • 检查计算机帐户是否已通过 Microsoft Entra ID 门户同步到 Microsoft Entra ID。如果已同步,则会显示“尚未加入 Azure AD”,表示注册状态待定。

    要将计算机帐户同步到 Microsoft Entra ID,请确保:

    • 计算机帐户位于配置为与 Microsoft Entra ID 同步的 OU 中。即使计算机帐户位于配置为同步的 OU 中,没有 userCertificate 属性的计算机帐户也不会同步到 Microsoft Entra ID。
    • 属性 userCertificate 会填充到计算机帐户中。使用活动目录浏览器查看该属性。
    • Microsoft Entra Connect 必须在创建计算机帐户后至少同步一次。如果未同步,请在 Microsoft Entra Connect 计算机的 PowerShell 控制台中手动运行 Start-ADSyncSyncCycle -PolicyType Delta 命令以触发立即同步。

  • Check if the Citrix managed device key pair for Microsoft Entra hybrid joined is correctly pushed to the machine by querying the value of DeviceKeyPairRestored under HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Citrix.

    验证该值是否为 1。如果不是,可能的原因是:

    • 与预配方案关联的身份池的 IdentityType 未设置为 HybridAzureAD。您可以通过运行 Get-AcctIdentityPool 来验证这一点。
    • 计算机未通过计算机目录的相同预配方案进行预配。
    • 计算机未加入本地域。加入本地域是 Microsoft Entra 混合加入的先决条件。

  • 通过在 MCS 预配的计算机上运行 dsregcmd /status /debug 命令来检查诊断消息。

    • 如果 微软 Entra 混合加入成功,则命令行输出中的 AzureAdJoinedDomainJoined

    • 如果不是,请参阅 Microsoft 文档以排查问题:https://docs.microsoft.com/zh-cn/azure/active-directory/devices/troubleshoot-hybrid-join-windows-current

    • 如果您收到错误消息 服务器消息:在 ID 为 xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx 的设备上找不到用户证书,则运行以下 PowerShell 命令以修复用户证书:

       Repair-AcctIdentity -IdentityAccountName TEST\VM1 -Target UserCertificate
 <!--NeedCopy-->

      有关用户证书问题的更多信息,请参阅 CTX566696

Microsoft Entra 混合加入的计算机身份的身份池
May 31, 2026
投稿者: 
C
May 31, 2026
投稿者: 
C

在本文中

站点反馈 | Your privacy choices footer link您的隐私选择 | 隐私和法律条款 | Cookie 首选项 | 同意设置 | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.