Azure Files 및 Active Directory 도메인 Services 또는 Microsoft Entra Domain Services에 FSLogix 프로필 컨테이너 저장
이 문서에서는 세션 호스트 VM(가상 머신)이 AD DS(Active Directory 도메인 Services) 도메인 또는 Microsoft Entra Domain Services 관리되는 도메인에 조인될 때 Azure Files를 사용하여 FSLogix 프로필 컨테이너를 설정하는 방법을 보여 줍니다.
필수 조건
프로필 컨테이너를 구성하려면 다음이 필요합니다.
- 세션 호스트가 AD DS 도메인 또는 Microsoft Entra Domain Services의 관리되는 도메인에 조인되고 사용자가 할당되는 호스트 풀입니다.
- 프로필 컨테이너를 사용할 사용자를 포함하는 도메인의 보안 그룹입니다. AD DS를 사용하는 경우 Microsoft Entra ID와 동기화해야 합니다.
- 스토리지 계정을 만들고 역할 할당을 추가할 수 있는 Azure 구독에 대한 권한입니다.
- 컴퓨터를 도메인에 조인시키고 관리자 권한 PowerShell 프롬프트를 여는 도메인 계정입니다.
- 스토리지 계정이 있는 Azure 구독의 구독 ID입니다.
- 스토리지 계정을 도메인에 조인시킬 PowerShell 모듈을 설치 및 실행하기 위해 도메인에 조인된 컴퓨터입니다. 이 디바이스는 지원되는 버전의 Windows를 실행해야 합니다. 또는 세션 호스트를 사용할 수 있습니다.
Important
사용자가 이전에 사용하려는 세션 호스트에 로그인한 경우 로컬 프로필이 만들어지고 프로필 컨테이너에 프로필이 저장되려면 관리자가 먼저 삭제해야 합니다.
프로필 컨테이너에 대한 스토리지 계정 설정
스토리지 계정을 설정하려면 다음을 수행합니다.
아직 계정이 없으면 Azure Storage 계정을 만듭니다.
스토리지 계정 아래에 Azure Files 공유를 만들어 아직 저장하지 않은 경우 FSLogix 프로필을 저장합니다.
Active Directory에 스토리지 계정 조인
파일 공유의 공유 권한에 Active Directory 계정을 사용하려면 AD DS 또는 Microsoft Entra Domain Services를 원본으로 사용하도록 설정해야 합니다. 이 프로세스는 스토리지 계정을 컴퓨터 계정으로 나타내는 도메인에 조인합니다. 아래에서 시나리오에 대한 관련 탭을 선택하고 단계를 따릅니다.
AD DS 도메인에 조인된 컴퓨터에 로그인합니다. 또는 세션 호스트 중 하나에 로그인합니다.
Azure Files 샘플 GitHub 리포지토리에서 최신 버전의 AzFilesHybrid를 다운로드하고 추출합니다. 파일을 추출할 폴더를 기록해 둡니다.
관리자 권한 PowerShell 프롬프트를 열고 파일을 추출한 디렉터리로 변경합니다.
다음 명령을 실행하여 사용자의 PowerShell 모듈 디렉터리에
AzFilesHybrid
모듈을 추가합니다..\CopyToPSPath.ps1
다음 명령을 실행하여
AzFilesHybrid
모듈을 가져옵니다.Import-Module -Name AzFilesHybrid
Important
이 모듈에는 PowerShell 갤러리 및 Azure PowerShell이 필요합니다. 아직 설치되지 않았거나 업데이트가 필요한 경우 설치하라는 메시지가 표시될 수 있습니다. 이를 묻는 메시지가 표시되면 설치한 다음 PowerShell의 모든 인스턴스를 닫습니다. 계속하기 전에 관리자 권한 PowerShell 프롬프트를 다시 열고
AzFilesHybrid
모듈을 다시 가져옵니다.아래 명령을 실행하여 Azure에 로그인합니다. 다음 RBAC(역할 기반 액세스 제어) 역할 중 하나가 있는 계정을 사용해야 합니다.
- 스토리지 계정 소유자
- 소유자
- 기여자
Connect-AzAccount
팁
Azure 계정에 여러 테넌트 및/또는 구독에 대한 액세스 권한이 있는 경우 컨텍스트를 설정하여 올바른 구독을 선택해야 합니다. 자세한 내용은 Azure PowerShell 컨텍스트 개체를 참조하세요.
아래 명령을 실행하여 스토리지 계정을 도메인에 조인시키고
$subscriptionId
,$resourceGroupName
및$storageAccountName
값을 원하는 값으로 바꿉니다. 매개 변수-OrganizationalUnitDistinguishedName
을 추가하여 컴퓨터 계정을 배치할 OU(조직 구성 단위)를 지정할 수도 있습니다.$subscriptionId = "subscription-id" $resourceGroupName = "resource-group-name" $storageAccountName = "storage-account-name" Join-AzStorageAccount ` -ResourceGroupName $ResourceGroupName ` -StorageAccountName $StorageAccountName ` -DomainAccountType "ComputerAccount"
스토리지 계정이 도메인에 가입되어 있는지 확인하려면 아래 명령을 실행하고 출력을 검토하여 값을
$resourceGroupName
값으로$storageAccountName
바꿉니다.$resourceGroupName = "resource-group-name" $storageAccountName = "storage-account-name" (Get-AzStorageAccount -ResourceGroupName $resourceGroupName -Name $storageAccountName).AzureFilesIdentityBasedAuth.DirectoryServiceOptions; (Get-AzStorageAccount -ResourceGroupName $resourceGroupName -Name $storageAccountName).AzureFilesIdentityBasedAuth.ActiveDirectoryProperties
Important
도메인에서 암호 만료를 적용하는 경우 Azure 파일 공유에 액세스할 때 인증 실패를 방지하기 위해 만료되기 전에 암호를 업데이트해야 합니다. 자세한 내용은 AD DS에서 스토리지 계정 ID의 암호 업데이트를 참조하세요.
사용자에게 RBAC 역할 할당
파일 공유에 프로필을 저장해야 하는 사용자는 액세스 권한이 필요합니다. 이렇게 하려면 각 사용자에게 스토리지 파일 데이터 SMB 공유 기여자 역할을 할당해야 합니다.
사용자에게 역할을 할당하려면:
Azure Portal에서 스토리지 계정으로 이동한 다음 이전에 만든 파일 공유로 이동합니다.
액세스 제어(IAM) 를 선택합니다.
+ 추가를 선택한 다음 드롭다운 메뉴에서 역할 할당 추가를 선택합니다.
스토리지 파일 데이터 SMB 공유 기여자 역할을 선택하고 다음을 선택합니다.
멤버 탭에서 사용자, 그룹 또는 서비스 주체를 선택한 다음, +멤버 선택을 선택합니다. 검색 창에서 프로필 컨테이너를 사용할 사용자가 포함된 보안 그룹을 검색하여 선택합니다.
검토 + 할당을 선택하여 할당을 완료합니다.
NTFS 권한 설정
다음으로 폴더에 대한 NTFS 권한을 설정해야 합니다. 이를 위해서는 스토리지 계정에 대한 액세스 키를 가져와야 합니다.
스토리지 계정 액세스 키를 가져오려면:
Azure Portal의 검색 창에서 스토리지 계정을 검색하여 선택합니다.
스토리지 계정 목록에서 Active Directory 도메인 Services 또는 Microsoft Entra Domain Services를 ID 원본으로 사용하도록 설정하고 이전 섹션에서 RBAC 역할을 할당한 계정을 선택합니다.
보안 + 네트워킹에서 액세스 키를 선택한 다음 key1에서 키를 표시하고 복사합니다.
폴더에 대한 올바른 NTFS 권한을 설정하려면:
호스트 풀의 일부인 세션 호스트에 로그인합니다.
관리자 권한 PowerShell 프롬프트를 열고 아래 명령을 실행하여 스토리지 계정을 세션 호스트의 드라이브로 매핑합니다. 매핑된 드라이브는 파일 탐색기 표시되지 않지만 명령으로
net use
볼 수 있습니다. 이렇게 하면 공유에 대한 권한을 설정할 수 있습니다.net use <desired-drive-letter>: \\<storage-account-name>.file.core.windows.net\<share-name> <storage-account-key> /user:Azure\<storage-account-name>
<desired-drive-letter>
를 원하는 드라이브 문자(예:y:
)로 바꿉니다.- 두 인스턴스를
<storage-account-name>
모두 이전에 지정한 스토리지 계정의 이름으로 바꿉니다. <share-name>
을 앞서 만든 공유의 이름으로 바꿉니다.<storage-account-key>
를 Azure의 스토리지 계정 키로 바꿉니다.
예시:
net use y: \\fsprofile.file.core.windows.net\share HDZQRoFP2BBmoYQ(truncated)== /user:Azure\fsprofile
다음 명령을 실행하여 Azure Virtual Desktop 사용자가 다른 사용자의 프로필에 대한 액세스를 차단하면서 자신의 프로필을 만들 수 있도록 공유에 대한 권한을 설정합니다. 프로필 컨테이너를 사용하려는 사용자가 포함된 Active Directory 보안 그룹을 사용해야 합니다. 아래 명령에서
<mounted-drive-letter>
를 드라이브 매핑에 사용한 드라이브 문자로 바꾸고<DOMAIN\GroupName>
을 공유에 액세스해야 하는 Active Directory 그룹의 도메인 및 sAMAccountName으로 바꿉니다. 사용자의 UPN(사용자 계정 이름)을 지정할 수도 있습니다.icacls <mounted-drive-letter>: /grant "<DOMAIN\GroupName>:(M)" icacls <mounted-drive-letter>: /grant "Creator Owner:(OI)(CI)(IO)(M)" icacls <mounted-drive-letter>: /remove "Authenticated Users" icacls <mounted-drive-letter>: /remove "Builtin\Users"
예시:
icacls y: /grant "CONTOSO\AVDUsers:(M)" icacls y: /grant "Creator Owner:(OI)(CI)(IO)(M)" icacls y: /remove "Authenticated Users" icacls y: /remove "Builtin\Users"
프로필 컨테이너를 사용하도록 로컬 Windows 디바이스 구성
프로필 컨테이너를 사용하려면 FSLogix 앱이 디바이스에 설치되어 있는지 확인해야 합니다. Azure Virtual Desktop을 구성하는 경우 FSLogix 앱은 Windows 10 Enterprise 다중 세션 및 Windows 11 Enterprise 다중 세션 운영 체제에 미리 설치되어 있지만 최신 버전이 설치되어 있지 않을 수 있으므로 아래 단계를 따라야 합니다. 사용자 지정 이미지를 사용하는 경우 이미지에 FSLogix 앱을 설치할 수 있습니다.
프로필 컨테이너를 구성하려면 그룹 정책 기본 설정을 사용하여 모든 세션 호스트에서 레지스트리 키와 값을 대규모로 설정하는 것이 좋습니다. 사용자 지정 이미지에서 설정할 수도 있습니다.
로컬 Windows 디바이스를 구성하려면 다음을 수행합니다.
FSLogix 앱을 설치하거나 업데이트해야 하는 경우 최신 버전의 FSLogix를 다운로드하고
FSLogixAppsSetup.exe
를 실행하여 설치한 다음 설정 마법사의 지침을 따릅니다. 사용자 지정 및 무인 설치를 포함한 설치 프로세스에 대한 자세한 내용은 FSLogix 다운로드 및 설치를 참조하세요.관리자 권한 PowerShell 프롬프트를 열고 다음 명령을 실행하여
\\<storage-account-name>.file.core.windows.net\<share-name>
을 이전에 만든 스토리지 계정에 대한 UNC 경로로 바꿉니다. 이러한 명령은 프로필 컨테이너를 사용하도록 설정하고 공유 위치를 구성합니다.$regPath = "HKLM:\SOFTWARE\FSLogix\profiles" New-ItemProperty -Path $regPath -Name Enabled -PropertyType DWORD -Value 1 -Force New-ItemProperty -Path $regPath -Name VHDLocations -PropertyType MultiString -Value \\<storage-account-name>.file.core.windows.net\<share-name> -Force
디바이스를 다시 시작합니다. 나머지 디바이스에 대해 이러한 단계를 반복해야 합니다.
이제 프로필 컨테이너 설정을 완료했습니다. 사용자 지정 이미지에 프로필 컨테이너를 설치하는 경우 사용자 지정 이미지 만들기를 완료해야 합니다. 자세한 내용은 최종 스냅샷 만들기 섹션에서 Azure에서 사용자 지정 이미지 만들기 단계를 따릅니다.
프로필 만들기 유효성 검사
프로필 컨테이너를 설치하고 구성한 후에는 호스트 풀에 애플리케이션 그룹 또는 데스크톱이 할당된 사용자 계정으로 로그인하여 배포를 테스트할 수 있습니다.
이전에 사용자가 로그인한 경우 이 세션 중에 사용되는 기존 로컬 프로필을 갖게 됩니다. 먼저 로컬 프로필을 삭제하거나 테스트에 사용할 새 사용자 계정을 만듭니다.
사용자는 아래 단계에 따라 프로필 컨테이너가 설정되어 있는지 확인할 수 있습니다.
테스트 사용자로 Azure Virtual Desktop에 로그인합니다.
사용자가 로그인하면 데스크톱에 도달하기 전에 "FSLogix Apps Services를 기다리세요"라는 메시지가 로그인 프로세스의 일부로 나타나야 합니다.
관리자는 아래 단계에 따라 프로필 폴더가 만들어졌는지 확인할 수 있습니다.
Azure Portal을 엽니다.
이전에 만든 스토리지 계정을 엽니다.
스토리지 계정의 데이터 스토리지로 이동한 다음 파일 공유를 선택합니다.
파일 공유를 열고 만든 사용자 프로필 폴더가 해당 폴더에 있는지 확인합니다.