创建混合 Azure 活动目录 加入的目录
注意:
Since July 2023, Microsoft has renamed Azure Active Directory (Azure AD) to Microsoft Entra ID. In this document, any reference to Azure Active Directory, Azure AD, or AAD now refers to Microsoft Entra ID.
本文介绍如何创建混合 Azure Active Directory (AD) 加入的目录。
您可以通过使用 Web Studio 或 PowerShell 这两种方式来创建 Azure AD 加入的目录。
有关要求、限制和注意事项的信息,请参阅 混合 Azure Active Directory 加入。
Use Web Studio
以下信息是对 创建计算机目录 中指南的补充。要创建混合 Azure AD 加入的目录,请遵循该文章中的一般指南,同时注意混合 Azure AD 加入目录的特定详细信息。
在目录创建向导中:
- 在计算机身份页面上,选择混合 Azure Active Directory 加入。创建的计算机由组织拥有,并使用属于该组织的 Active Directory 域服务帐户登录。它们存在于云端和本地。
注意:
如果您选择混合 Azure Active Directory 加入作为身份类型,则目录中的每台计算机都必须具有相应的 AD 计算机帐户。
Use PowerShell
以下是与 Web Studio 中的操作等效的 PowerShell 步骤。有关如何使用远程 PowerShell SDK 创建目录的信息,请参阅 https://developer-docs.citrix.com/projects/citrix-virtual-apps-desktops-sdk/en/latest/creating-a-catalog/。
本地 AD 加入的目录与混合 Azure AD 加入的目录之间的区别在于身份池和计算机帐户的创建。
要为混合 Azure AD 加入的目录创建身份池以及帐户,请执行以下操作:
New-AcctIdentityPool -AllowUnicode -IdentityType "HybridAzureAD" -Domain "corp.local" -IdentityPoolName "HybridAADJoinedCatalog" -NamingScheme "HybridAAD-VM-##" -NamingSchemeType "Numeric" -OU "CN=AADComputers,DC=corp,DC=local" -Scope @() -ZoneUid "81291221-d2f2-49d2-ab12-bae5bbd0df05"
New-AcctADAccount -IdentityPoolName "HybridAADJoinedCatalog" -Count 10 -ADUserName "corp\admin1" -ADPassword $password
Set-AcctAdAccountUserCert -IdentityPoolName "HybridAADJoinedCatalog" -All -ADUserName "corp\admin1" -ADPassword $password
<!--NeedCopy-->
注意:
$password是具有写入权限的 AD 用户帐户的匹配密码。
用于创建混合 Azure AD 加入目录的所有其他命令与用于传统本地 AD 加入目录的命令相同。
查看混合 Azure AD 加入过程的状态
在 Web Studio 中,当交付组中的混合 Azure AD 加入计算机处于开机状态时,混合 Azure AD 加入过程的状态可见。要查看状态,请使用 搜索 识别这些计算机,然后对于每台计算机,检查下部窗格中详细信息选项卡上的计算机身份。以下信息可能显示在计算机身份中:
- 已加入混合 Azure AD
- 尚未加入到 Azure AD 中
注意:
- 计算机首次开机时,您可能会遇到混合 Azure AD 加入延迟。这是由默认的计算机身份同步间隔(Azure AD Connect 的 30 分钟)引起的。计算机仅在通过 Azure AD Connect 将计算机身份同步到 Azure AD 后才处于混合 Azure AD 加入状态。
- 如果计算机未能处于混合 Azure AD 加入状态,则它们不会注册到 Delivery Controller。它们的注册状态显示为初始化。
此外,使用 Web Studio,您可以了解计算机不可用的原因。为此,请在搜索节点上单击一台计算机,检查下部窗格中详细信息选项卡上的注册,然后阅读工具提示以获取更多信息。
故障排除
如果计算机未能加入混合 Azure AD,请执行以下操作:
-
检查计算机帐户是否已通过 Microsoft Azure AD 门户同步到 Azure AD。如果已同步,则会显示尚未加入 Azure AD,表示注册状态待定。
要将计算机帐户同步到 Azure AD,请确保:
- 计算机帐户位于配置为与 Azure AD 同步的 OU 中。即使计算机帐户位于配置为同步的 OU 中,没有 userCertificate 属性的计算机帐户也不会同步到 Azure AD。
- 此属性 userCertificate 会自动填充到计算机帐户中。您可以使用 Active Directory Explorer 工具来查看此属性。
- 创建计算机帐户后,Azure AD Connect 必须至少同步一次。如果未同步,请在 Azure AD Connect 计算机的 PowerShell 控制台中手动运行
Start-ADSyncSyncCycle -PolicyType Delta命令以触发即时同步。
-
Check if the Citrix managed device key pair for hybrid Azure AD join is correctly pushed to the machine by querying the value of DeviceKeyPairRestored under HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Citrix.
验证该值是否为 1。如果不是,可能的原因是:
- 与预配方案关联的身份池的
IdentityType未设置为HybridAzureAD。您可以通过运行Get-AcctIdentityPool来验证这一点。 - 计算机未通过与计算机目录相同的预配方案进行预配。
- 计算机未加入本地域。加入本地域是混合 Azure AD 加入的先决条件。
- 与预配方案关联的身份池的
-
通过在 MCS 预配的计算机上运行
dsregcmd /status /debug命令来检查诊断消息。-
如果混合 Azure AD 加入成功,则在命令行输出的结果中,AzureAdJoined 和 DomainJoined 均为 是。
-
如果不是,请参阅 Microsoft 文档以排查问题:https://docs.microsoft.com/zh-cn/azure/active-directory/devices/troubleshoot-hybrid-join-windows-current。
-
如果收到错误消息 服务器消息:在 ID 为 xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx 的设备上找不到用户证书,请运行以下 PowerShell 命令来修复用户证书:
Repair-AcctIdentity -IdentityAccountName TEST\VM1 -Target UserCertificate <!--NeedCopy-->有关用户证书问题的更多信息,请参阅 CTX566696。
-