前段时间,我写了一个博客 如何使用服务主体设置Windows四人打麻将桌面(WVD)主机池 如果在Azure环境中为(每个)用户/管理员启用了MFA,并且您无法设置Windows四人打麻将桌面主机池。通过“ Windows四人打麻将桌面-设置主机池”向导中的Windows Vista设置新的Windows四人打麻将桌面主机池时,此方法运行良好。 微软 蔚蓝门户。但是很快我在运行 用于更新现有Windows四人打麻将桌面主机池的ARM模板,而我并不是唯一的一个,我收到了很多来自同样问题的人的邮件。
在排除故障并没有成功后,我决定打开一个 Github上的案例。也有人说他们有同样的问题,甚至几个月。最近“Microsoft Windows四人打麻将桌面团队” (Including 汤姆·希克林, 克里斯蒂安·蒙托亚, 莫希特·纳克拉尼(Mohit Nakrani) 等)开始为我提供帮助,他们发现该问题“与没有适当的权限向Azure资源管理器进行身份验证以删除/重新分配旧VM有关。”所以首先大枪战 汤姆·希克林, 克里斯蒂安·蒙托亚, 莫希特·纳克拉尼(Mohit Nakrani) 和这支出色的团队的其余成员一起寻找导致此问题的原因!
在此博客中,我将逐步向您展示如何创建服务主体,您可以使用它通过Microsoft 蔚蓝门户中的“ Windows四人打麻将桌面-设置主机池”向导来设置新的Windows四人打麻将桌面主机池。 ,以及用于更新现有Windows四人打麻将桌面主机池的ARM模板。我将按照以下步骤进行操作:
- 创建应用注册
- 向您的Azure订阅添加角色分配
- 将RDS所有者角色添加到服务主体
- 设置新的WVD主机池
- 运行ARM模板以更新现有的Windows四人打麻将桌面主机池
让我们开始吧…
步骤1)建立应用程式注册
对于后续步骤,请登录到 微软 蔚蓝门户.
导航: 蔚蓝活动目录> App registrations 然后点击 +新注册 按钮。
给这个应用程序起一个名字,在这种情况下,我会给它起名字 Windows四人打麻将桌面SP。选择 仅此组织目录中的帐户。离开 重定向URI(可选) 空并单击 寄存器
打开 证明书& secrets 刀片并单击 +新客户机密
给客户机密命名,在这种情况下,我将使用 录像机 作为名字. 选择一个到期期限,然后单击 加
复制 值 到保存位置,这是服务主体“password”这是您可以看到此值的唯一时间。
打开 总览 刀片并复制 申请编号 到与客户机密相同的保存位置,这是服务主体“Username”并且在注册新的Windows四人打麻将桌面主机池或更新现有的Windows四人打麻将池主机池时,需要此信息以及客户端密码。
步骤2)将角色分配添加到您的Azure订阅
在Azure门户中,导航到 订阅内容
打开你的 订阅 然后去 访问控制(IAM) 刀。在里面 添加角色分配 对话框中,单击 加
选择 贡献者 作为角色并搜索在此博客的第一步中创建的服务主体,请选择它并单击 保存
步骤3)将RDS所有者角色添加到服务主体
打开 电源外壳 在高调的提示下。
如果尚未执行此操作,请安装 微软RDinfra 通过运行以下命令来执行PowerShell模块:
Install-Module -Name 微软.RDInfra.RDPowerShell
使用以下命令导入模块:
Import-Module -Name 微软.RDInfra.RDPowerShell
运行以下命令并以Windows四人打麻将桌面RDS所有者角色登录
加-RdsAccount -DeploymentUrl //rdbroker.wvd.microsoft.com
将显示以下输出。
运行以下命令。 (用您的Windows四人打麻将桌面租户名称替换hobo.cloud)
$myTenantName = "your tenant name"
运行以下命令以将RDS所有者角色添加到服务主体。更换“<服务主体应用程序ID>”以及在此博客的第一步中创建的服务主体的应用程序ID。
New-RdsRoleAssignment -RoleDefinitionName "RDS Owner" -ApplicationId <服务主体应用程序ID> -TenantName $myTenantName
步骤4)设置新的WVD主机池
让我们看看是否可以使用此Servcice主体创建新的Windows四人打麻将桌面主机池。对于下一步,您需要返回到 微软 蔚蓝门户.
在Microsoft 蔚蓝门户中,单击 +创建资源 按钮。
搜索 Windows四人打麻将桌面–设置主机池 然后点击 创造
选择你的 订阅, 一种 资源组 (或者像在这种情况下一样创建一个新的)。选择你的 地区 并为此新的WVD Hostpool填写一个名称(以我为例 SP测试)。选择 桌面型 (在我的情况下为“合并”)并填写 默认桌面用户。请点击 下一页:配置四人打麻将机
配置四人打麻将机,以我为例,我将创建两个D4s v3 VM’s. 请点击 下一页
配置图像源(目前,我将其保留为图库图像)并填写所有其他要求的信息。单击 下一页 : Windows四人打麻将桌面information
填写Windows四人打麻将桌面信息。组 Windows四人打麻将桌面tenant RDS Owner 至 服务主体。填写 申请编号 和 密码 (客户机密)。填写您的 蔚蓝 AD租户ID 然后点击 下一页:评论+创建
请点击 创造
几分钟后 您的部署已完成
步骤5)运行ARM模板以更新现有的Windows四人打麻将桌面主机池
现在,服务原则正在为“Windows四人打麻将桌面–设置主机池” 向导。让’s see how it’适用于ARM模板。
打开 用于更新现有Windows四人打麻将桌面主机池的ARM模板 然后点击 部署到Azure
填写以下字段:
订阅 :选择您的Azure订阅
资源组 :选择用于主机池的当前资源组或创建一个新的资源组
Rdsh图像源 :选择您要使用的图像类型(在我的情况下,这将是自定义图像)
Vm Image Vhd Uri :输入VHD文件的网址(如果使用自定义图片)
Rdsh名称前缀 :输入新四人打麻将机的计算机名称前缀’s(当前除外)
Rdsh实例数 :填写四人打麻将机数量’需要创建的
Rdsh VM磁盘类型 :选择要用于此新VM的磁盘类型’s
向下滚动一点
填写以下字段:
Rdsh Vm大小 :选择四人打麻将机大小
加入域 :填写您的本地域名
现有域UPN :要加入VM的用户帐户’s 至 the domain
现有的Doamin密码 : The 密码 of the user
Path径 :(可选)OU是计算机帐户需要放入的OU
现有的Vnet名称 :要用于VM的网络的名称’s
现有子网名称 :输入要使用的子网的名称(VM’需要能够连接到本地DC’s or 蔚蓝 AD DS)
四人打麻将网络资源组名称 :Vnet的资源组名称
现有租户名称 :您的WVD租户的名称
现有的主机池名称 :WVD主机池的名称
向下滚动一点
填写以下内容:
租户Admin Upn或应用程序ID :在此博客的第一步中创建的服务主体的应用程序ID
租户管理员密码 :在此博客的第一步中创建的服务主体的客户机密
是服务负责人 :真
Aad租户ID :您的Azure ID
对先前四人打麻将机的操作 :删除或取消分配
用户注销延迟(以分钟为单位) :您喜欢的分钟数
选择 我同意上述条款和条件 然后点击 采购
几分钟后 您的部署已完成
在管理控制台中查看时,您会看到旧的两个VM’从主机池中删除了,并添加了四个新的。
10条评论。 离开新的
我以另一种方式解决了这个问题。我按照MS 录像机部署文档使用以下命令创建服务主体“New-AzureAD应用”,这将创建“应用程序注册”,然后添加凭据(秘密)。然后,它可以与RDS代理一起用于Powershell登录,但是我无法’不要使用它进行重新部署,因为Azure登录无法识别它。要解决此问题,请导航至应用注册> “WVD服务负责人>概述,在右侧,您将看到标题“托管的应用程序” and it will say “创建服务主体”单击此按钮,它将完成服务主体的创建到“企业应用”并且可以用于重新部署所需的组和子组中的RBAC角色并添加到其中。简而言之,通过Powershell创建并不能完成服务主体的完整创建过程。
你好罗宾
我使用的是Okta SSO和Duo MFA,但他说自己拥有很不错的儿子Azure,因此我尝试使用服务原理方法,但是在配置VM的春季更新中该选项不可行’s.
部署失败“机器名称-0 / dscextension”
“Microsoft.Compute /四人打麻将机器/扩展”阶段,我认为它与上述MFA或Okta有关。
有任何想法吗?
你好罗宾,
我现在已经执行了两次(一次按照您的说明进行一次,一次按照Microsoft进行一次),两次都出现错误“收到的访问令牌无效:至少一项索赔‘puid’ or ‘altsecid’ or ‘oid’应该存在。如果要作为应用程序访问,请确保在租户中正确创建了服务主体。”
我不确定是什么缺失或错误。你遇到过这个吗?
感谢您发布本文。
很棒的文章–我也为此感到挣扎。我在其他博客中读到,SP帐户需要访问资源组的权限才能创建VM,vNics等–不是吗?