你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

Azure 虚拟桌面的会话主机更新（预览版）

重要

Azure 虚拟桌面的会话主机更新目前以预览版提供。 有关 beta 版本、预览版或尚未正式发布的版本的 Azure 功能所适用的法律条款，请参阅 Microsoft Azure 预览版的补充使用条款。

会话主机更新使你可以更新具有会话主机配置的主机池中所有会话主机的基础虚拟机 (VM) 磁盘类型、操作系统 (OS) 映像和其他配置属性。 会话主机更新会解除分配或删除现有虚拟机，并使用更新的配置创建添加到主机池的新虚拟机。 更新会话主机的这一方法符合管理核心源映像中的更新的建议，而不是按正在进行的重复计划单独向每个会话主机分发和安装更新，以使它们保持最新状态。

下面是执行更新时可以做出的更改：

• 虚拟机映像
• 虚拟机大小
• 虚拟机磁盘类型
• 虚拟机安全类型：
  • Standard
  • 受信任启动虚拟机
  • 机密虚拟机
• Active Directory 域加入凭据
• Microsoft Intune 注册
• 本地管理员凭据
• 运行自定义配置 PowerShell 脚本

使用会话主机更新完成会话主机的更新后，主机池中的所有会话主机都会使用你指定的更改进行标准化。 会话主机的其他 Azure 属性（例如可用性配置、网络配置和位置）会在更新之间保留。

更新过程

你可以指定要同时更新的主机池中的会话主机数，称为批处理。 此值是更新期间一次不可用的最大会话主机数，所有剩余的会话主机都可供使用。 更新启动时，只有一个会话主机（称为初始）用于测试端到端更新过程是否成功，然后再批量更新池中的其余会话主机。 如果发生故障，此方法将最大程度地减少影响。

下面是一个示例：如果你有一个包含 10 个会话主机的主机池，并且你输入的批大小为 3，则会更新一个会话主机（初始），而剩余的会话主机会按三批每批三个更新。 在初始会话主机完成更新后，主机池中至少有七个会话主机可用。

在更新期间，会话主机更新遵循以下过程：

1. 根据现有会话主机的名称和之前指定的批处理大小来选择现有会话主机。 管理员指定的通知将发送到任何已连接的用户，然后服务会等待也是在之前指定的持续时间，之后退出登录任何剩余用户。

2. 所选会话主机将置于排出模式下，然后从主机池中移除。 不会删除加入 Active Directory 域的会话主机的计算机帐户。

3. 使用更新的会话主机配置创建相同数量的新会话主机。 VM、OS 磁盘和网络接口的新 Azure 资源采用格式 SessionHostName-DateTime，例如，名为 VM1-0 的现有 VM 将替换为名为 VM1-0-2023-04-15T17-16-07 的新 VM。 操作系统的主机名不会更改。 这些新会话主机使用 Azure VM 扩展加入目录。

   已加入 Active Directory 域的会话主机继承现有的 AD 计算机对象。 此过程会建立信任关系，并中断与以前的 VM 的现有信任关系。

4. 新会话主机已加入现有主机池并禁用排出模式，会话主机可以接受连接。

5. 原始 VM 已被解除分配或删除，具体取决于你是否选择保存原始 VM。

一次只能有一个在单个主机池中运行或计划的会话主机更新操作。 但是，可以同时在多个主机池上运行会话主机更新操作。

遵循会话主机的现有电源状态和排出模式。 可以在所有会话主机都已解除分配的主机池上执行更新，以节省成本。

重要

• 如果使用 Azure 虚拟桌面见解，则更新的会话主机上不会自动安装 Azure Monitor 代理或 Log Analytics 代理。 若要自动安装代理，下面是一些选项：

  • 对于 Azure Monitor 代理，可以使用 Azure Policy。
  • 对于 Log Analytics 代理，可以使用 Azure 自动化。

• 请留意你的 Azure 订阅的配额限制，如果更新会超出限制，请考虑提交请求以增加配额。

• 建议在与要更新的主机池对齐的测试主机池上测试更新过程。 这将测试更新过程本身，以及与环境中上一个 VM 同名的新 VM 的结果。 在更新生产主机池之前，测试任何更新（如新应用程序或修补程序）能否在环境中按预期工作也很重要。

虚拟机和管理工具

新映像必须支持 Azure 虚拟桌面和虚拟机的代系，它可以来自：

• Azure 市场。

• 现有的 Azure Compute Gallery 共享映像。

• 现有的托管映像。

当会话主机更新创建新的虚拟机时，它需要将它们加入目录。 必须使用与现有 VM 相同的目录。 在更新期间无法更改目录。

更新完成后，任何自定义项（例如手动添加到会话主机的文件、注册表项或证书）都不会存在。 不能单独更新池中的会话主机，因此应将这些自定义项添加到映像本身，确保自定义项由配置管理工具（如 Intune 或组策略）应用，或将这些自定义项添加到会话主机配置中的自定义配置 PowerShell 脚本。

在更新已加入 Active Directory 的会话主机期间，不会删除计算机对象。 这意味着 Active Directory 中存在临时孤立的计算机对象。 当新虚拟机加入域时，它会使用原始主机名并继承孤立的计算机对象。 如果更改域，则需要从上一个域中移除孤立的计算机对象。

组策略对象 (GPO) 用于将策略应用于会话主机，通常在 Active Directory 域中的 OU 级别应用。 但是，可能有一些应用程序/筛选是使用计算机对象或组对象完成的。 新 VM 继承孤立的计算机对象，而现有 GPO 仍适用。 在更新过程中，如果更改 OU 成员身份，应确保现有 GPO 仍适用。

日程安排和用户会话

如果有用户在会话主机开始更新时登录到它，则他们会收到管理员指定的通知，通知用户退出登录，然后再次登录。 用户可以立即重新登录，以连接到主机池中的另一个会话主机。

新连接将定向到更新的会话主机，以避免他们登录到即将更新的会话主机，进而再次通知他们退出登录。 但是，在更新开始时，不会有任何新更新的会话主机，因此被要求退出登录且最近登录到尚未更新的会话主机的用户将再次收到退出登录的通知。

由于只有较少数量的会话主机可用，你应该为你的企业在适当的时间安排更新，以便最大程度地减少最终用户的中断。

已知问题和限制

以下是已知问题和限制：

• 会话主机更新仅在全球 Azure 云中可用。 它在其他云中不可用，例如 Azure 美国政府版或由世纪互联运营的 Azure。

• 对于从具有购买计划的 Azure Compute Gallery 共享映像创建的会话主机，在更新会话主机时不会保留该计划。 若要检查用于会话主机的映像是否有购买计划，可以使用 Azure PowerShell 或 Azure CLI。

• 更新期间无法更改 OS 磁盘的大小。 更新服务默认为库映像定义的相同大小。

• 在更新期间，无法向主机池添加更多会话主机。

• 如果更新失败，则在取消更新之前，无法删除主机池。

• 更新进度仅在会话主机更新时发生更改。 例如，在具有 10 个会话主机的主机池中，在第一个会话主机更新期间，进度会显示为“0.00%”。 它只有在第一个会话主机更新后才会变为“10%”。

• 如果你决定创建从现有会话主机获取的映像，然后用作会话主机更新的源映像，则需要在创建映像之前删除 C:\packages\plugin 文件夹。 否则，此文件夹会防止将更新的虚拟机加入主机池的 DSC 扩展正常运行。

• 如果使用 Azure 虚拟桌面见解，则更新的会话主机上不会自动安装 Azure Monitor 代理或 Log Analytics 代理。 若要自动安装代理，下面是一些选项：

  • 对于 Azure Monitor 代理，可以使用 Azure Policy。
  • 对于 Log Analytics 代理，可以使用 Azure 自动化。
  • 从 Azure 门户中的 Azure 虚拟桌面见解中手动添加这些新会话主机。

• 避免在创建会话主机时修改主机池中没有任何会话主机的会话主机配置，因为这样可能会导致主机池具有不一致的会话主机属性。

• 使用大批大小的更新可能会导致间歇性故障，错误代码 AgentRegistrationFailureGeneric。 如果出现于正在更新的会话主机的子集，重试更新通常会解决此问题。

后续步骤

• 了解如何使用会话主机更新来更新具有会话主机配置的主机池中的会话主机。